Hakerzy wykorzystują reklamy w Google do rozprzestrzeniania złośliwego oprogramowania

Klikasz pierwsze linki od góry w Google? Nie zawsze są bezpieczne. Hakerzy wykorzystują wszelkie środki, by przekonać ludzi do pobierania złośliwego oprogramowania.

Google Ads to płatny system reklam w wyszukiwarce powszechnie wykorzystywany przez firmy do promowania swoich produktów i usług. Ostatnio jest również chętnie używany przez… hakerów.

Linki sponsorowane w wynikach wyszukiwania Google cieszą się dużym zaufaniem wśród internautów, z czego korzystają oszuści. Reklamy sponsorowane to łatwy sposób na to, by znaleźć ofiary skore do pobrania złośliwego oprogramowania. Wyświetlają się jako pierwsze w wynikach wyszukiwania i – teoretycznie – powinny być bezpieczne. W końcu odpowiada za nie system należący do Google’a.

System reklamowy Google Ads jest co prawda płatny, ale może z niego skorzystać każdy, a hakerzy nie wahają się inwestować własnych środków, jeśli wiedzą, że zyski kilkukrotnie zrekompensują straty. A tak właśnie jest, bo fałszywe reklamy to ostatnio plaga.

Malvertising, bo tak właśnie określa się wykorzystanie reklam internetowych w złośliwych celach, to nie tylko sponsorowane linki w wyszukiwarce. To również wyskakujące okienka i banery udające reklamy zwyczajnych witryn, w rzeczywistości przekierowujące do stron wykradających dane albo zawierających złośliwe oprogramowanie. Niektóre z nich mogą nawet zawierać skrypty uruchamiające się samodzielnie; bez potrzeby klikania.

By się przed nimi chronić, zalecamy blokowanie reklam za pomocą odpowiedniego oprogramowania. Choć adblockery nie ukrywają linków w wynikach wyszukiwania, to skutecznie blokują inne, potencjalnie szkodliwe reklamy.

Dlaczego hakerzy korzystają z Google Ads?

System reklamowy Google Ads jest jednym z najczęściej wykorzystywanych przez firmy pragnące reklamować swoje usługi w internecie. Jego zasada jest prosta – reklamodawca płaci, by odnośnik do jego strony wyświetlał się na samym początku listy wyników wyszukiwania po wpisaniu odpowiednich fraz kluczowych (podpisany jako „sponsorowany”).

W zamian zwiększa się widoczność strony dla internautów poszukujących określonych usług i produktów za pomocą słów kluczowych w wyszukiwarce Google. Sporo osób nie trudzi się bowiem przewijaniem wyników i zwraca największą uwagę na odnośniki znajdujące się najwyżej – w tym te sponsorowane.

Co to oznacza z perspektywy hakera? To, że jeśli sam wykupi reklamę dla swojej strony, będzie miał szansę przekonać sporą rzeszę internautów o jej prawdziwości. Ci, którzy po prostu klikną pierwszy link od góry, zostaną przekierowani na sfałszowaną witrynę będącą niemalże idealną kopią tej, którą udaje. Stamtąd ofiary będą mogły już pobrać złośliwe oprogramowanie.

Malvertising w praktyce

Wieści o złośliwym wykorzystaniu Google Ads nie tak dawno obiegły część internetu zafascynowaną kryptowalutami i podobnymi aktywami cyfrowymi. Niejaki NFT God, influencer ze świata inwestowania, w styczniu poinformował na swoim Twitterze, że wszystkie jego konta zostały zhakowane, a spora część aktywów – utracona.

Stało się tak za sprawą OBS-a – programu do nagrywania i streamowania obrazu z komputera. Influencer próbował pobrać go z pierwszej strony wyświetlonej w wyszukiwarce Google, którą okazała się sponsorowana podróbka podstawiona przez hakerów.

https://twitter.com/NFT_GOD/status/1614442000958324739

Ostatniej nocy wszystkie moje cyfrowe źródła utrzymania zostały naruszone.

Każde konto powiązane ze mną zarówno osobiście, jak i zawodowo, zostało zhakowane i wykorzystane do skrzywdzenia innych.

Co mniej ważne, straciłem zmieniającą życie porcję mojego majątku netto.

Hakerzy promujący swoje strony za pomocą systemu Google Ads wykorzystują trendy, dlatego często fałszywe witryny wyświetlają się po wpisaniu takich słów kluczowych, jak OBS, TradingView, Adobe, Photoshop czy Gimp. Są to popularne programy, często wyszukiwane przez internautów. Ostatnio sieć żyje także sztuczną inteligencją (AI), więc frazy typu ChatGPT i Midjourney również mogą wyświetlać złośliwe linki sponsorowane.

Fałszywe witryny są zazwyczaj na tyle dobrze odtworzone, że trudno zauważyć w nich cokolwiek niewłaściwego. Co więcej – nawet oprogramowanie, które oferują, nie budzi podejrzeń. Niektórzy hakerzy wykorzystują kopie normalnych programów „wzbogacone” o złośliwe skrypty, tak by ofiara nie dowiedziała się o oszustwie nawet po otworzeniu i zainstalowanego pobranego pliku. Inne natomiast po prostu nie działają – po otworzeniu pliku .exe nie dzieje się nic, ale to nic, bo skrypt został już uruchomiony i pracuje w tle.

Złośliwe programy pobrane ze sfałszowanych witryn mogą natomiast wyrządzić szereg szkód: uszkodzić sprzęt komputerowy, zwiększyć wykorzystanie zasobów (tak działają szczególnie koparki kryptowalut i botnety), zaszyfrować pliki w celu wyłudzenia okupu czy wykraść poufne dane, w tym loginy i hasła ofiary.

Co zatem robić? Przede wszystkim zachować czujność. Nie twierdzimy, że wszystkie sponsorowane linki są potencjalnie szkodliwe, ale doradzamy ostrożność. Przed otworzeniem odnośnika warto dokładnie sprawdzić adres, do którego prowadzi. Literówki i ogólnie „dziwny” wygląd powinny budzić podejrzenia (większość oficjalnych witryn posługuje się krótkimi, jasnymi adresami URL: blender.org, obsproject.com, notepad-plus-plus.org).

Warto też korzystać z dobrego oprogramowania antywirusowego, wtyczek zwiększających bezpieczeństwo i renomowanych przeglądarek. Większość z nich po prostu blokuje dostęp do potencjalnie szkodliwych stron.