„Die Bedrohungsakteure klonen die offiziellen Websites der oben genannten Projekte und verteilen trojanisierte Versionen der Software, wenn Benutzer auf die Download-Schaltfläche klicken“, heißt es in dem Bericht.Das Google Die Anzeigenplattform hilft Werbetreibenden, Seiten zu bewerben Google-Suche.
Wer in einem Browser ohne aktiven Werbeblocker nach Original-Softwareprodukten sucht, klickt mit hoher Wahrscheinlichkeit auf bösartige Links, „weil er dem tatsächlichen Suchergebnis sehr ähnlich sieht“.„In dem Moment, in dem diese ‚getarnten‘ Seiten von gezielten Besuchern besucht werden, leitet der Server sie sofort auf die betrügerische Seite und von dort auf die bösartige Nutzlast um“, erklärt er Guardio Labs.Diese betrügerischen Seiten sind für Besucher praktisch unsichtbar.Erkennt Google, dass die Zielseite bösartig ist, wird die Kampagne blockiert und die Anzeigen entfernt.Die Malware-Payload, die im ZIP- oder MSI-Format vorliegt, wird von seriösen File-Sharing- und Code-Hosting-Diensten wie heruntergeladen GitHub, Dropboxoder das CDN von Discord.„Dies stellt sicher, dass Antivirenprogramme, die auf dem Computer des Opfers ausgeführt werden, dem Download nicht widersprechen“, heißt es in dem Bericht.Guardio Labs beobachtete kürzlich eine Kampagne, bei der der Bedrohungsakteur Benutzer mit einer trojanisierten Version von Grammarly anlockte. Die Malware wurde mit der legitimen Software gebündelt.