ESET a descoperit o campanie malițioasă pe o platformă importantă din Rusia

2019-05-09

Cercetătorii ESET au descoperit o campanie care vizează utilizatorii Yandex prin rezultate de căutare rău intenționate. Yandex este adesea descris ca omologul rusesc pentru gigantul Google.

Vizitatorii care au căutat șabloane, formulare și tutoriale pe Yandex, cel mai mare motor de căutare rusesc, au fost direcționați către o pagină GitHub prin care au fost răspândite diferite tipuri de malware.

În mod similar, utilizatorii care au vizitat forumuri specializate au fost targetați cu anunțuri ce îi duceau către un site web rău intenționat care răspândea malware, la fel ca platforma GitHub. În toate cazurile, malware-ul era legat de diferite puncte de acces ale utilizatorilor către formulare, șabloane și contracte, toate fiind troianizate.

„Pe scurt, acei utilizatori care au încercat să-și facă munca mai ușoară au ajuns să-și facă viața mai grea din cauza metodelor folosite în această campanie", a comentat Jean-Ian Boutin, Senior Researcher la ESET.

Figura 1 - Unul dintre landing page-urile campaniei malware, numită „Collection of Templates 2018: Forms, templates, contracts, samples", ce găzduia documente troianizate.

Pe baza notificării făcute de ESET, Yandex.Direct, platforma de publicitate a gigantului rus a blocat malware-ul. Depozitele GitHub utilizate pentru această campanie conțin în prezent doar câteva fișiere malițioase. Landing page-ul mai sus menționat era încă live în urmă cu doar câteva zile și găzduia încă documentele troianizate.

Din cauza faptului că atacatorii au folosit GitHub, unde istoricul schimbărilor la nivel de depozite este disponibil public, putem vedea ce malware a fost distribuit în orice moment. În cadrul acestei campanii au fost găzduite șase familii de malware diferite pe GitHub. Printre ei se aflau două backdoor-uri bine cunoscute, Buhtrap si RTM, ambele fiind troieni bancari.

„Această campanie este un exemplu care ilustrează cum servicii de publicitate legitime pot fi abuzate să distribuie programe malware. În timp ce această campanie a vizat în mod specific organizații rusești, nu ne-ar surprinde dacă un astfel de sistem ar fi utilizat și pentru servicii de anunțuri din afara Rusiei", concluzionează Boutin.

Cercetătorii ESET recomandă ca utilizatorii să se asigure întotdeauna că sursa aleasă pentru a descărca software-uri este un distribuitor de software cunoscut și de încredere, cu scopul de a evita astfel de înșelătorii.