Организации, пострадавшие от вредоносной рекламы, содержащей вредоносное ПО Bumblebee

Подразделение Secureworks Counter Threat Unit (CTU) обнаружило вредоносное ПО Bumblebee, распространяемое через троянские установщики в различных популярных бизнес-приложениях, таких как Zoom, Cisco AnyConnect, ChatGPT и Citrix Workspace. Конечные пользователи, которые ищут законное программное обеспечение, обманом заставляют установить вредоносный загрузчик через поддельные страницы загрузки, распространяемые через вредоносные объявления Google.

«Удаленные работники могут захотеть установить новое программное обеспечение на своей домашней ИТ-системе. Для быстрого решения они могли бы поискать в Интернете, а не обращаться к своей технической команде, если она у них вообще есть. Но исследования показывают, что одна из каждых 100 онлайн-рекламы содержит вредоносный контент», — сказал директор по разведке Secureworks CTU Майк Маклеллан.

«Поскольку люди ищут новые технологии или хотят участвовать в ажиотаже вокруг новых технологий, таких как ChatGPT, Google — это то место, где их можно найти. Вредоносную рекламу, возвращаемую в результатах поиска, невероятно сложно обнаружить даже человеку с глубокими техническими знаниями».

В одном случае, расследованном исследователями CTU, пользователь подписался на рекламу в Google, чтобы загрузить законный установщик Cisco AnyConnect VPN, который был изменен, чтобы содержать вредоносное ПО Bumblebee. Через несколько часов злоумышленник получил доступ к их системе, развернул дополнительные инструменты, в том числе Cobalt Strike и сценарий kerberoasting, и попытался проникнуть в сеть.

«Исходя из того, что мы видели, злоумышленник, вероятно, намеревался развернуть программу-вымогатель. К счастью, сетевые защитники обнаружили и остановили их, прежде чем они смогли это сделать», — сказал Маклеллан.

«Переход от фишинга к Google Ads не так уж удивителен. Злоумышленники идут к деньгам и легкому пути к успеху, и если это окажется лучшим способом получения доступа к корпоративным сетям, то они непременно воспользуются им. Что действительно подчеркивается, так это важность наличия строгих политик для ограничения доступа к веб-рекламе, а также управления привилегиями при загрузке программного обеспечения, поскольку сотрудники не должны иметь привилегий для установки программного обеспечения на свои рабочие компьютеры», — заключил Маклеллан.

Поскольку злоумышленники используют онлайн-рекламу и отравление SEO, организации могут защитить свои команды и свою сеть, введя ограничения и средства контроля, которые ограничивают возможность пользователей нажимать на Google Ads. Организации также должны обеспечить загрузку установщиков и обновлений программного обеспечения только с надежных и проверенных веб-сайтов.

О Secureworks
Secureworks является мировым лидером в области кибербезопасности, который обеспечивает прогресс человека с помощью Secureworks Taegis, облачной аналитической платформы безопасности, основанной на более чем 20-летнем опыте анализа реальных угроз и исследований, повышающей способность клиентов обнаруживать сложные угрозы, оптимизировать расследования и сотрудничать с ними. и автоматизировать правильные действия.