Новая изощрённая кампания по распространению вредоносного ПО стала настоящей угрозой для пользователей нескольких крупных онлайн-платформ. Начавшись с использования угнанных аккаунтов на Facebook для размещения фальшивых реклам TradingView Premium, эта атака распространилась также на Google Ads и YouTube, где вредоносная активность маскируется под якобы проверенный контент.
Захват аккаунтов и распространение
Изначально злоумышленники получили контроль над деловым аккаунтом норвежской дизайн-студии на Facebook. Сейчас они переключили внимание и на другие площадки, включая Google и YouTube, где используют взломанные и зачастую подтверждённые каналы для увеличения достоверности вредоносного контента. В результате пользователи перенаправляются на загрузчик, устанавливающий троян Trojan.Agent.GOSL, который может похищать данные и получать удалённый доступ к устройствам.
Этот малварь, первоначально распространявшийся только среди Android пользователей через Meta рекламы, сейчас несет риски и для других экосистем. Вредоносное ПО крадёт учетные данные и предоставляет несанкционированный доступ к устройствам, что вызывает серьёзные опасения у экспертов в области кибербезопасности.
Рекомендации по защите
Специалисты подчеркивают, что подобные кросс-платформенные атаки вскрывают уязвимости в процессах проверки реклам и восстановления аккаунтов. В связи с этим они рекомендуют:
- Включать двухфакторную аутентификацию на рекламных и верифицированных аккаунтах;
- Регулярно проводить аудит разрешений для приложений и сервисов;
- Проверять источники загрузки приложений;
- Избегать неподтвержденных предложений "бесплатных" премиум-услуг;
- Поддерживать устройства в актуальном состоянии и использовать признанные антивирусы и инструменты для обнаружения угроз.
Эксперты также отмечают необходимость коллективной работы между платформами и кибербезопасными фирмами, усиления проверки рекламных объявлений и большей регуляторной активности для предотвращения подобных угроз в будущем.
