„BumbleBee“ kenkėjiška programa platinama išnaudojant „Google Ads“

Kad pasiektų įmones, „BumbleBee“ kenkėjiška programa naudoja „Google Ads“

„BumbleBee“ kenkėjiška programa plinta per „Google Ads“.

Kibernetinio saugumo pasaulis nuolat keičiasi, jame nuolat atsiranda naujų grėsmių. „BumbleBee“ kenkėjiška programa yra viena iš tokių grėsmių – tai pavojingas įrankis, kurį naudoja išpirkos reikalaujančias gaujas, kad gautų pradinę prieigą prie tinklų ir vykdytų savo atakas. Kenkėjiška programa buvo aptikta dar 2022 metų balandžio mėnesį ir manoma, kad ją sukūrė „Conti“ komanda, kad pakeistų „BazarLoader“.

Tačiau visai neseniai buvo pastebėta nauja „BumbleBee“ kenkėjiškos programos versija, pasižyminti slaptesne atakų grandine ir naudojančią „PowerSploit“ sistemą, kad atspindėtų DLL įterpimą į atmintį. Tai leidžia kenkėjiškai programai įeiti į atmintį nepastebėtai esamų antivirusinių programų, todėl viruso aptikimas ir prevencija tampa dar sunkesnė nei iki šiol.

„Google Ads“ ir SEO pasitelkiami sėkmingam „BumbleBee“ kenkėjiškos programos platinimui

„Secureworks“ kibernetinio saugumo tyrėjai atrado naują kampaniją^[1], kuri reklamuoja trojanais užkrėstas populiarių programų versijas ir per „Google“ reklamas pateikia „BumbleBee“ kenkėjišką programą nieko neįtariančioms aukoms. Skelbimuose reklamuojama programinė įranga, pvz., „Zoom“, „Cisco AnyConnect“, „ChatGPT“ ir „Citrix Workspace“, tačiau vartotojai nukreipiami į netikrus atsisiuntimo puslapius, kuriuose jie raginami atsisiųsti trojanais užkrėstą programinės įrangos versiją.

Remiantis „SecureWorks“ duomenimis, 2023 metų vasario 16 dieną buvo sukurtas netikras „Cisco AnyConnect Secure Mobility Client“ atsisiuntimo puslapis, kuris atidarytas naudojant „appcisco.com“ domeną. Naudotojus į šį puslapį per pažeistą „WordPress“ svetainę nukreipė kenkėjiškas „Google“ skelbimas. Netikras nukreipimo puslapis reklamavo trojanu užkrėstą „MSI“ diegimo programą, pavadintą „cisco-anyconnect-4 9 0195.msi“, kuri įdiegia „BumbleBee“ kenkėjišką programą.

Kai nieko neįtariantis vartotojas paleidžia diegimo programą, teisėtos programos diegimo įrankio kopija ir „PowerShell“ scenarijus su apgaulingu pavadinimu (cisco2.ps1) iš karto nukopijuojami į jo kompiuterį. Kad nekiltų įtarimų, tuo pačiu teisėta „AnyConnect“ diegimo programa sėkmingai įdiegia įrenginyje programą. Tuo tarpu „PowerShell“ scenarijus įdiegia „BumbleBee“ kenkėjišką programą ir atlieka kenkėjišką veiklą pažeistame įrenginyje.

„BumbleBee“ kenkėjiška programa yra nukreipta į verslo vartotojus

Trojanu užkrėsta programinė įranga, platinama per „Google“ skelbimus ir užkrėstą SEO, pirmiausia skirta verslo vartotojams, todėl užkrėsti įrenginiai yra pagrindiniai ransomware atakų taikiniai. Kiti programinės įrangos paketai su panašiai pavadintomis failų poromis, kuriuos atrado „Secureworks“, yra „ZoomInstaller.exe“ ir „zoom.ps1“, „ChatGPT.msi“ ir „chch.ps1“ bei „CitrixWorkspaceApp.exe“ ir „citrix.ps1“.

„Secureworks“ ištyrė neseniai įvykdytą „BumbleBee“ ataką ir išsiaiškino, kad kibernetiniai nusikaltėliai pasinaudojo savo prieiga prie pažeistos sistemos, kad judėtų tinkle praėjus vos trims valandoms po pirminio užkrėtimo. Jie naudojo įvairius įrankius, įskaitant „Cobalt Strike“ rašiklio testavimo rinkinį, „AnyDesk“ ir „DameWare“ nuotolinės prieigos įrankius, tinklo nuskaitymo įrankius, AD duomenų bazės savivartį ir „Kerberos“, kuris padeda pavogti prisijungimo duomenis.

Toks platus arsenalas rodo, kad kenkėjiškos programos kūrėjai gali būti suinteresuoti nustatyti pažeidžiamus tinklo taškus, patekti prie kitų įrenginių, išfiltruoti duomenis ir galiausiai įdiegti kokią nors išpirkos reikalaujančią programą, daugeliui žinomą tiesiog ransomware vardu. Tad įmonėms priklausantys vartotojai turėtų būti ypač atsargūs ir imtis papildomų atsargumo priemonių, kad apsaugotų savo tinklus nuo tokio tipo atakų.

Kibernetiniai nusikaltėliai jau ne pirmą sykį išnaudoja „Google Ads“

Įvairių kenkėjiškų programų kūrėjai jau seniai naudoja „Google Ads“, kad platintų savo programas ir sėkmingai vykdytų sukčiavimo atakas. 2020 metais^[2] „Google“ pašalino daugiau nei 2,7 mlrd. netinkamų skelbimų ir užblokavo 1,2 mln. reklamuotojų paskyrų, nes šios pažeidė „Google“ politiką. Tarp jų buvo ir kenkėjiškų programų platinimo, sukčiavimo ir įvairių aferų skelbimai.

Kibernetiniai nusikaltėliai naudojo „Google Ads“, siekdami reklamuoti netikrus „Ledger Live Chrome“ plėtinius, kurie vienu reikšmingu atveju, nutikusiu 2019 metais^[3], pavogė naudotojų kriptovaliutų atsargas. Aukos, spustelėjusios kenkėjiškus skelbimus, buvo nukreiptos į netikrą „Ledger“ svetainę, kur jų buvo paprašyta įdiegti netikrą plėtinį. Įdiegus jį, šis plėtinys paskatindavo vartotojus įvesti 24 žodžių atkūrimo frazę, leidžiančią užpuolikams pavogti jų kriptovaliutas.

2017 metais kibernetiniai nusikaltėliai panašiu būdu naudojo „Google Ads“, kad reklamuotų kenkėjiška programa užkrėstą populiariosios „WhatsApp“ susirašinėjimo programėlės versiją. Prieš „Google“ pašalinant netikrą programą, pavadintą „Update WhatsApp Messenger“^[4], ji buvo atsisiųsta daugiau nei milijoną kartų.

Šie pavyzdžiai rodo, kad kibernetiniai nusikaltėliai ne tik naudoja sudėtingus metodus, bet ir teisėtus reklamos kanalus, kad platintų kenkėjiškas programas ir vykdytų sėkmingas sukčiavimo atakas. Kadangi vis daugiau žmonių dirba nuotoliniu būdu ir bendradarbiaudami vieni su kitais naudojasi įvairiomis programomis, asmenys ir organizacijos turi išlikti itin budrūs ir žinoti apie visą riziką, susijusią su programų atsisiuntimu ir įdiegimu iš nepatikimų šaltinių.