Reclamele Google, mai periculoase decât ai crede. Infecțiile se ascund în documente „nevinovate”

O nouă campanie de atacuri cibernetice foloșește reclamele Google pentru a distribui malware-ul Gootloader, vizând în special persoanele care caută șabloane de documente juridice.

Potrivit unui cercetător în securitate cibernetică, cunoscut sub pseudonimul „Gootloader” pe platforma X, atacatorii ascund software-ul malițios în reclame care par a fi destinate descărcării de contracte și acorduri juridice, scrie DarkReading.

Campania de atac este desfășurată prin intermediul unui cont publicitar aparținând companiei Med Media Group Ltd. din Marea Britanie, care a fost compromisă și folosită pentru scopuri frauduloase.

Potrivit cercetătorului, atacatorii au achiziționat un domeniu web, au configurat infrastructura necesară prin Cloudflare și au început să plaseze anunțuri în motorul de căutare Google.

Secretul lui Sorin Bontea pentru cel mai gustos drob de miel. Ce pune în el ca să nu se sfărâme, ingredientul care face diferența

Zodiile care dau lovitura de Paște 2025. Luna aprilie le aduce bani, iubire și vești mari

Utilizatorii care caută documente precum „șablon acord de confidențialitate” pot ajunge pe un site malițios, lawliner[.]com, controlat de infractorii cibernetici.

Acest site, aparent inofensiv, servește drept punct de distribuție pentru Gootloader, un malware specializat în colectarea de informații confidențiale.

Tactici noi pentru o amenințare veche – tot pe Google

Dacă în trecut atacatorii utilizau tehnici de optimizare a rezultatelor în motoarele de căutare (SEO poisoning) pentru a atrage victimele către site-uri compromise, noua metodă de malvertising le permite să ajungă direct la utilizatori prin anunțuri plătite.

Experții în securitate subliniază că atacurile asupra firmelor de avocatură nu sunt o noutate, dată fiind cantitatea mare de informații sensibile pe care aceste instituții le gestionează.

Datele obținute pot fi utilizate pentru extorcare, vânzare pe piața neagră sau pentru noi atacuri cibernetice direcționate.

Conform cercetătorului care investighează Gootloader, atacatorii au exploatat anterior peste 5 milioane de cuvinte-cheie din domeniul juridic pe bloguri WordPress compromise. Noua metodă indică faptul că infractorii și-au creat acum propria infrastructură pentru distribuirea malware-ului.

Cum funcționează atacul Gootloader, de fapt

Utilizatorii care accesează site-ul lawliner[.]com sunt încurajați să descarce un document juridic, după ce introduc o adresă de e-mail. Ulterior, aceștia primesc un e-mail de la „lawyer@skhm[.]org”, care conține un link pentru descărcarea unui fișier de tip .docx.

Însă, documentul conține, de fapt, un fișier arhivat în format .zip, care la dezarhivare livrează un script JavaScript (non_disclosure_agreement_nda.js).

Executarea acestui fișier declanșează instalarea Gootloader, care creează o sarcină programată în folderul AppData/Roaming al utilizatorului și rulează un script PowerShell.

Scriptul colectează informații esențiale despre sistem, inclusiv procesele active, numele fișierelor de pe desktop, variabilele de mediu și spațiul disponibil pe unități.

Toate aceste date sunt transmise constant către o serie de 10 domenii, dintre care unele sunt site-uri WordPress compromise, iar altele sunt create de atacatori pentru a masca activitatea frauduloasă.

Gootloader este utilizat atât ca un program de furt de date, cât și ca un vector de atac inițial înaintea unei eventuale infectări cu ransomware.

Atacatorii pot folosi malware-ul pentru a executa comenzi suplimentare sau pentru a instala software malițios ulterior, folosind un mecanism denumit GootBot.

Cercetătorii în securitate cibernetică au identificat două adrese web implicate în această campanie – lawliner[.]com și skhm[.]org – și recomandă blocarea acestora în sistemele de securitate IT.

Mai mult decât atât, se recomandă verificarea istoricului de trafic web pentru a identifica posibile conexiuni cu aceste domenii și pentru a preveni atacurile viitoare.