2min

Cybercriminelen gebruiken het advertentieplatform Google Ads steeds vaker voor het verspreiden van malware als legitieme software. Dit blijkt uit recent onderzoek van onder meer Guardio Labs en Trend Micro.

Cybercriminelen verspreiden steeds vaker malware die zich voordoet als legitieme software. Zij maken een kloon van de officiële websites van de software en distribueren versies met trojans van de software wanneer op de download button wordt geklikt. Hierdoor kunne zij dan de malware als varianten van Raccoon Stealer en IcedID malware loader verspreiden.

Software die  hiervoor in toenemende mate voor wordt misbruikt, zijn onder meer tools als Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird en de open-source internetbrowser Brave.

Onderzoek Guardio Labs en Trend Micro

Uit de onderzoeken van securityspecialisten Guardio Labs en ook Trend Micro blijkt dat de cybercriminelen nu vooral het advertentieplatform Google Ads gebruiken voor het verspreiden van deze als legitieme software aangeprezen malware. De advertenties met de gespoofte websites wordt vaak boven die van de echte gepresenteerd. Vooral gebruikers zonder adblocker zouden hierdoor vaker op deze kwaadaardige sites kunnen klikken, aldus de securityspecialist.

Wanneer deze ‘verborgen’ website worden bezocht door de via Google Ads gezochte bezoekers, geeft de server een directe redirect naar de kwaadaardige site en vandaar naar de malware. De kwaadaardige sites zijn niet te vinden door crawlers en de securityspecialisten van Google, zo stelt Guardio Labs.

 De malware wordt vervolgens als een ZIP- of MSI-bestand gedownload van legitieme file-sharing-diensten en code repositories als GitHub, Dropbox of Discord. Hiermee worden anti-virusprogramma’s van de eindgebruikers omzeild.

Mogelijke oplossingen

De nieuwe malware-campagnemethoden van cybercriminelen zijn al langer bekend. Onlangs waarschuwde ook de FBI voor dit soort campagnes. Eindgebruikers die willen voorkomen dat zij via een gespoofte softwaresite worden misleid, kunnen het beste een adblocker installeren. Deze filteren promoties uit de zoekmachine van Google.

Ook kunnen zij officiële softwaresites het beste bookmarken om als zij bijvoorbeeld updates willen installeren. Andere preventie is mogelijk door goed te letten op de omvang van de te downloaden bestanden. Malware heeft vaak een grotere omvang dan legitieme software. Verder kunnen zij ook nog de URL of domeinnaam checken op legitimiteit. Cybercriminelen gebruiken vaak tikfouten, typesquatting, om hun kwaadaardige sites voor het voetlicht te brengen.