Google Ads udnyttes af hackere til at sprede malware

Hackere bundler malware med legitime softwareprodukter som Grammarly, MSI Afterburner og Slack, og spreder den derefter via falske kopier af produkternes officielle hjemmesider hjulpet af Google Ads.

Det skriver Bleeping Computer på baggrund af rapporter fra Guardio Labs og Trend Micro.

Læs også: Microsoft gør klar til at slås for kæmpe spil-opkøb

For nylig var FBI ude at advare mod netop denne type svindel.

Svindlen foregår ved, at Google Ads promoverer annoncører – i dette tilfælde trusselsaktøren bag malwaren og de falske hjemmesider – på Google Søgning ved at placere annoncerne højt på listen over søgeresultater.

Det betyder, at brugere, der – i en browser uden en aktiv ad blocker – leder efter legitime softwareprodukter, vil se den promoverede annonce først og sandsynligvis vil klikke på den, fordi den ligner det faktiske søgeresultat.

Læs også: Meta millimeter fra at indgå milliardforlig efter Cambridge Analytica-skandale

Google har dog en sikkerhedsmekanisme, der medfører, at hvis Google opdager, at annoncens landingsside er ondsindet, så blokeres den, og annoncerne fjernes fra søgeresultaterne.

Derfor føres brugerne, der klikker på den promoverede annonce, i stedet til en irrelevant, men ikke-ondsindet hjemmeside oprettet af trusselsaktøren, og derefter omdirigeres de til den falske kopi af produktets officielle hjemmeside.

Malwaren, der kommer i ZIP- eller MSI-form, downloades fra velrenommerede fildelings- og kode-hosting-tjenester som GitHub, Dropbox eller Discords CDN, hvilket medfører, at malwaren undgår eventuelle antivirusprogrammer.

I nogle tilfælde bundles malwaren med det legitime softwareprodukt.