Oszustwo w Google na "wyższym poziomie". Nie rozpoznasz go

W wyszukiwarce Google można trafić na oszustwo, a w efekcie zainfekować komputer złośliwym oprogramowaniem BatLoader. Chodzi o spreparowaną reklamę na liście wyników wyszukiwania, ale nieco inną niż pozostałe - nawet wprawne oko nie dostrzeże tu bowiem literówki w adresie, a jednak reklama kieruje na fałszywą stronę pobierania oprogramowania.

Na problem zwracają uwagę eksperci z Malwarebytes Labs. Kampania wykorzystuje nazwę i wizerunek aplikacji Webex do wideokonferencji w firmach. Co do zasady chodzi o zamieszczoną w Google fałszywą reklamę, która wyświetla się na szczycie wyników wyszukiwania i kieruje na spreparowaną stronę. Użytkownik, który tam trafi, pobierze sfałszowaną wersję aplikacji zamiast oryginalnej. Ta oczywiście jest zainfekowana złośliwym oprogramowaniem, które później instalowane jest w komputerze.

Podobne przypadki fałszywych reklam w Google opisywaliśmy wiele razy, ale dotychczas łączyła je wspólna cecha - adres jedynie udający autentyczną witrynę. Użytkownik, który nie zna autentycznej domeny danej firmy, może ulec wrażeniu, że trafia na faktyczną stronę producenta, w rzeczywistości jednak jest przekierowywany na spreparowaną witrynę o bliźniaczym adresie, to kwintesencja phishingu. W opisywanym dziś przypadku jest jednak inaczej - adres widoczny na liście wyników wyszukiwania jest autentyczny, więc typowy użytkownik jakkolwiek by się nie starał, nie dostrzeże tu oszustwa.

By zauważyć przekręt trzeba powiem zajrzeć "głębiej" do źródła strony i odszukać kod związany z daną reklamą. Okazuje się, że osoba wykupująca reklamę na szczycie wyników wyszukiwania w Google osobno podaje URL wyświetlający się w Google i osobno faktyczną stronę, na jaką zostanie przekierowany użytkownik. Równolegle regulamin określa, że nie może to być mylący zestaw adresów, a więc w praktyce jeden i drugi muszą być w tej samej domenie.

Dalsza część artykułu pod materiałem wideo

Założenie tego niuansu jest dość oczywiste: o ile w Google może być widoczny główny adres strony danego producenta, po kliknięciu użytkownik może zostać przeniesiony na którąś z podstron umożliwiającą pobieranie. Jeden z adresów jest bardziej czytelny w Google, drugi nieszczególnie - ale niezbędny, by trafić na właściwą stronę. W opisywanym przypadku twórca reklamy wykorzystał dodatkowy mechanizm pozwalający wskazać adres będący tzw. szablonem śledzenia. Pozwala to reklamodawcom dodawać parametry do URL-a, by w różny sposób śledzić działanie reklamy. Google opisuje, jak z niego korzystać w dokumentacji.

Reasumując, użytkownik jest więc przekonany, że trafi na stronę producenta Webex, ale w praktyce jest przenoszony na fałszywą stronę dzięki analizie wykonanej przez stronę śledzącą. Malwarebytes dodaje, że skrypt skutecznie wykrywa, jeśli dany użytkownik nie stanie się potencjalną ofiarą oszustwa (np. ma aktywny tryb piaskownicy w przeglądarce) i wówczas przekierowuje taką osobę na autentyczną stronę Webex. Tylko potencjalne ofiary trafiają na fałszywą witrynę, przez co fałszywą kampanię reklamową jest po prostu trudniej wykryć.

Malwarebytes dodaje, że problem został oczywiście zgłoszony Google'owi. Warto dodać, że podobnego oszustwa można uniknąć niejako przez przypadek, stosując blokery niebezpiecznych i reklamowych treści. W ten sposób przeglądając internet omijamy sekcję reklam w Google (nie wyświetlą się także te spreparowane).