Тысячи веб-сайтов пользователей заражены в рамках аферы по накрутке просмотров Google Ads С осени прошлого года тысячи заражённых веб-сайтов были вовлечены в эти аферы.
Исследователи безопасности из компании Sucuri провели последние несколько месяцев, отслеживая вредоносное ПО, которое перенаправляет пользователей на мошеннические страницы для накрутки показов рекламы Google. Кампания заразила более 10 000 веб-сайтов, заставляя их перенаправлять посетителей на совершенно другие спам-ресурсы.
Подозрительные страницы часто содержат формы вопросов и ответов, в которых упоминается биткоин или другие темы, связанные с блокчейном. Опытные пользователи могут предположить, что эти сайты пытаются продать биткоин или другие криптовалюты, возможно, для схемы «выкачивания и сброса». Возможно, так оно и есть, но Sucuri предполагает, что весь подобный текст – лишь верхушка айсберга, скрывающая реальный доход мошенников – просмотры рекламы **Google.****
На это указывает то, что многие из URL-адресов появляются в адресной строке браузера так, как будто пользователь нажал на результаты поиска Google, ведущие на сайты, о которых идёт речь. Данная уловка может быть попыткой замаскировать перенаправления под клики из результатов поиска в бэкенде Google, потенциально завышая количество показов для получения дохода от рекламы. Однако неясно, работает ли этот трюк, поскольку сервисы интернет-гиганта не регистрирует клики по результатам поиска, соответствующим замаскированным перенаправлениям.
Sucuri впервые заметила вредоносное ПО в сентябре, но кампания активизировалась после первого отчёта группы безопасности в ноябре. Только в 2023 году исследователи отследили более 2600 заражённых сайтов, перенаправляющих посетителей на более чем 70 новых мошеннических доменов.
Мошенники сначала скрывали свои настоящие IP-адреса с помощью CloudFlare, но после ноябрьского сообщения служба удалила их. С тех пор они перешли на DDoS-Guard, – аналогичный, но неоднозначный российский сервис.
Кампания в основном нацелена на сайты WordPress, предполагая существующие уязвимости. Более того, вредоносный код может скрываться с помощью обфускации. Он также может временно деактивироваться при входе администраторов в систему. Операторам сайтов следует защитить свои административные панели с помощью двухфакторной аутентификации и убедиться, что ПО сайтов обновлено.
Описываемая кампания – не единственный случай распространения вредоносного ПО, связанного с рекламой Google. Злоумышленники также выдавали себя за популярные приложения, чтобы распространять вредоносное ПО среди пользователей, играя на рейтинге рекламы Google для появления в верхней части результатов поиска. Пока что тем, кто хочет загрузить такие приложения, как Discord или Gimp, лучше не искать их через Google.