Istraživači prijetnji su identifikovali stalnu seriju malicioznih kampanja usmjerenih na profesionalce grafičkog dizajna, koristeći oglase Google pretraživanja kao vektor.
Ova kampanja, aktivna najmanje od 13. novembra 2024. godine, koristi dvije namjenske IP adrese, 185.11.61[.]243 i 185.147.124[.]110, za hostovanje malicioznih domena.
Počevši od prve IP adrese 185.11.61[.]243, u vrijeme pisanja ovog teksta, na nju je mapirano 109 jedinstvenih domena, sve naizgled za ovu kampanju malicioznih oglašavanja grafičkog dizajna/CAD-a.
Silent Push, u saradnji sa svojim istraživačkim partnerima, pratio je najmanje deset različitih kampanja tokom prošlog mjeseca. Ove maliciozne Google Ads kampanje koriste domene koje usmjeravaju nesuđene korisnike na štetna preuzimanja, što predstavlja značajan rizik za korporativno okruženje i sigurnost pojedinca.
Raspakivanje kampanja
Inicijalna domena, frecadsolutions[.]com, pokrenula je pokušaj malvertisinga sa svojom domenom koja se nalazila na IP adresi 185.11.61[.]243 od početka novembra.
Kampanja se brzo proširila suptilnim varijacijama u nazivima domena, kao što su frecadsolutions[.]cc, i proširila se na više domena sličnog zvuka kao što su freecad-solutions[.]net i rhino3dsolutions[.]io.
Prema Silent Push Research-u , „14. novembra 2024. pokrenuta je kampanja malicioznog oglašavanja pomoću frecadsolutions[.]cc (obratite pažnju na suptilnu razliku između TLD-a „ cc “ u odnosu na „ com “), koja je također bila hostovana 185.11. 61[.]243 od 6. novembra 2024. Ovo je koristilo Bitbucket za maliciozno preuzimanje, što je obično legitimna stranica za hosting datoteka.”
Dana 9. decembra 2024. pokrenuta je maliciozna kampanja sa onshape3d[.]org, koji je bio hostovan na 185.147.124[.]110 od 1. decembra 2024. do danas.
Ovi domeni su se pomjerali između dve identifikovane IP adrese, što ukazuje na koordiniran napor jednog hakera. Domeni su često koristili legitimne platforme kao što je Bitbucket za smještaj malicioznih datoteka, pogoršavajući prijetnju korištenjem pouzdanih imena.
Uprkos ovim stalnim prijetnjama, čini se da postoji značajan previd u odgovoru velikih igrača kao što je Google.
Čini se da se zanemaruju jednostavne istražne tehnike, poput praćenja hosting IP adresa na slične domene, što je zadatak kojim mogu upravljati čak i mlađi analitičari prijetnji. Ovaj nedostatak aktivnosti naglašava izazov brzog i efikasnog rješavanja malvertiza.
Izvor: CyberSecurityNews
