Никто не любит назойливую рекламу, но одно дело, когда она просто раздражает, и совсем другое — когда она откровенно опасна. Именно так обстоят дела с некоторыми поисковыми объявлениями Google, которые обманывают пользователей, ищущих популярные приложения, и побуждают их загрузить вредоносное ПО.

Это работает следующим образом: киберпреступники платят Google за размещение рекламы в поиске, чтобы их ссылка появлялась в верхней части результатов поиска. Ничего не подозревающий пользователь, веря, что Google проверяет рекламодателя перед запуском рекламы, нажимает на неё и попадает на обычно безобидный сайт, не имеющий никакого отношения к программному обеспечению, а затем его перенаправляют на копию официального сайта компании. Оттуда пользователь загружает троянскую программу, полагая, что это легальная версия. Затем эта вредоносная программа может украсть личную информацию, установить другие зловреды, включая программы-вымогатели, или даже получить контроль над компьютером.

Такие атаки — это не высшая математика, и в последнее время они становятся всё более популярными. Один из недавних примеров — вредоносная программа, получившая удачное название Bumblebee (от англ. «шмель»). По данным исследователей из SecureWorks, это загрузчик вредоносного ПО, который раньше распространялся в основном через фишинговые ссылки, а теперь — через рекламу Google и отравление поисковой оптимизации (SEO poisoning). Отравление SEO подразумевает, что киберпреступник наполняет вредоносный сайт ключевыми словами, поддельными обратными ссылками и контентом, которые заставляют мошеннический сайт занимать более высокие позиции в результатах поиска, чем легитимный сайт. Хотя отравление SEO и вредоносное ПО в Google Ads дополняют друг друга, в этой статье мы сосредоточимся на последнем.

Осторожно, пчёлы

В недавнем посте в блоге компания SecureWorks сообщила, что киберпреступники размещают в рекламе Google ссылки, которые направляют пользователей на загрузку нового популярного ПО, такого как ChatGPT, и ПО, которое предпочитают удалёнщики: Zoom, Cisco AnyConnect, защищённый VPN-клиент для дистанционного доступа, и Citrix Workspace, ещё одно популярное приложение для удалённой работы. Когда пользователи переходят по ссылкам, они оказываются на поддельных страницах загрузки, где их встречают «троянизированные» версии вышеуказанных программ.

В одной из кампаний SecureWorks наблюдала, как во время установки мошеннического ПО Cisco, заражённого ядом Bumblebee, выполнялись два файла: легитимный установщик Cisco AnyConnect и вредоносная программа PowerShell, которая, в свою очередь, содержала Bumblebee. Скрипт PowerShell загружал Bumblebee в память компьютера, не запуская его, что затрудняло его обнаружение антивирусным ПО.

По данным SecureWorks, конечной целью злоумышленников было внедрение программы-выкупа, которая блокирует компьютер или файлы и требует платы, чтобы восстановить доступ.

Google Ads: рай для вредоносной рекламы?

Bumblebee — это лишь один из примеров вредоносного ПО, которое может распространяться как лесной пожар через рекламу до того, как «Большой G» возьмёт его под контроль. Проблема вредоносной рекламы в Google Ads далеко не нова. На самом деле, реклама Google, включая спонсорские ссылки, которые вы видите в результатах поиска, уже много лет наводнена «плохими» объявлениями. В условиях бурного роста рынка онлайн-рекламы Google просто не в состоянии справиться с «плохой» рекламой, которая проскальзывает через его политику. В 2013 году Google заявил, что удалил более 350 миллионов «плохих» объявлений, отключил рекламу на более чем 400 000 сайтов, скрывающих вредоносное ПО, и забанил 270 000 «плохих» рекламодателей.

В 2022 году цифры были гораздо выше: в последнем отчёте о безопасности рекламы Google сообщил, что заблокировал более 5,2 миллиарда «плохих» объявлений (включая 142 миллиона за нарушение политики дезинформации) и приостановил работу 6,7 миллиона аккаунтов рекламодателей.

Несмотря на все усилия Google, ситуация не меняется. Эксперты бьют тревогу: ситуация с вредоносным ПО, распространяемым через Google Ads, не улучшается, а, наоборот, кажется, ухудшается.

Поскольку число таких атак с использованием вредоносной рекламы постоянно растёт, трудно найти популярное приложение или кусочек софта, который не был бы использован в качестве приманки. Только за последние несколько месяцев преступники использовали рекламу, чтобы заманить пользователей на поддельные сайты, предлагающие такие продукты, как Slack, Grammarly, μTorrent, Malwarebytes и Microsoft Visual Studio. Другая проблема заключается в том, что, хотя вы ожидаете, что ваш антивирус не позволит компьютеру загружать вредоносные программы, киберпреступники стали весьма искусно уклоняться от обнаружения антивирусными программами.

Как защитить себя

Поскольку использование антивируса само по себе недостаточно для защиты от подобных атак, нужны и другие методы. ФБР, которое также заметило увеличение числа атак вредоносного ПО с использованием поисковой рекламы, недавно поделилось советами о том, как не стать их жертвой. ФБР предлагает пользователям быть более внимательными к тому, что они загружают, то есть проверять URL, прежде чем кликнуть на рекламу, а ещё лучше — отказаться от поиска Google и вводить URL сайта непосредственно в браузере.

Это, несомненно, действенные советы, но они могут не сработать, когда вы торопитесь или невнимательны. Кроме того, злоумышленники могут обмануть вас, скрыв настоящий URL сайта с помощью техники, известной как ad cloaking.

Ещё один способ обезопасить себя, по мнению ФБР, — использовать блокировщик рекламы. Блокировщик рекламы — например, браузерное расширение AdGuard или отдельное приложение — кажется самым надёжным способом защитить себя от угрозы рекламы, размещаемой киберпреступниками. С блокировщиком рекламы вам не придётся проверять URL-адрес объявления, поскольку вы можете настроить свой блокировщик рекламы так, чтобы вообще не видеть поисковую рекламу. В расширении AdGuard это можно сделать в один клик, включив опцию Блокировать поисковую рекламу и саморекламу сайта.

Скриншот: Браузерное расширение AdGuard

В качестве дополнительного бонуса некоторые блокировщики рекламы — в том числе AdGuard — защищают вас от перехода на известные вредоносные и фишинговые сайты.