Silen Push-onderzoekers hebben dat gedaan geïdentificeerd een reeks malvertisingcampagnes gericht op professionals in grafisch ontwerp, waarbij gebruik wordt gemaakt van Google-zoekadvertenties om malware te verspreiden. De aanvallen begonnen in november 2024 en maakten gebruik van twee IP-adressen, 185.11.61.243 en 185.147.124.110, om meerdere kwaadaardige domeinen te hosten. Deze advertenties leiden gebruikers om naar websites die schadelijke downloads initiëren, wat een aanzienlijk veiligheidsrisico vormt voor nietsvermoedende slachtoffers.
Hackers misbruiken Google-advertenties om grafisch ontwerpers te targeten
De belangrijkste aanvalsvector betreft frauduleuze domeinen die legitieme grafische ontwerpsoftware nabootsen, waarbij bijna dagelijks campagnes worden gelanceerd. Bekende domeinen die met dit schema zijn verbonden, zijn onder meer frecadsolutions.com, freecad-solutions.net en rhino3dsolutions.io. Elke campagne heeft naar verluidt gebruik gemaakt van speciale IP-adressen om de kwaadaardige activiteit achter ogenschijnlijk legitieme advertenties te maskeren.
De malvertisingcampagnes zijn sinds 13 november 2024 continu aan de gang en maken gebruik van talloze domeinen om schadelijke inhoud te verspreiden. De eerste campagne werd gehost op frecadsolutions.com en werd actief op 6 november 2024. Daaropvolgende campagnes maakten gebruik van licht gewijzigde domeinnamen om detectie te omzeilen, waarbij campagnes werden vermeld op sites als planner5design.net en variaties op freecad-oplossingen.
Zoals beschreven in de bevindingen van Silent Push hebben de kwaadwillende actoren een goed gestructureerde operatie georganiseerd. Door kwetsbaarheden in advertentienetwerken te misbruiken, leiden deze aanvallers gebruikers van Google-advertenties om naar kwaadaardige websites die misleidende softwaredownloads aanbieden die zich voordoen als CAD-tools. Het gebruik van tools die worden gehost op vertrouwde platforms zoals Bitbucket voegt geloofwaardigheid toe aan hun kwaadaardige links, waardoor de kans op downloads door nietsvermoedende gebruikers toeneemt.
Bovendien benadrukt Silent Push dat het identificeren van deze bedreigingen eenvoudig moet zijn via basisdomein- en IP-adresonderzoek, maar dat de aanvallers onverschrokken blijven opereren, wat mogelijke tekortkomingen in de advertentiemonitoringmogelijkheden van Google benadrukt. Uit onderzoek blijkt dat wel tien verschillende campagnes gebruik hebben gemaakt van dezelfde advertentie-infrastructuur, wat de methodische aanpak van de aanvallers aantoont.
Technisch overzicht van de IP-adressen en domeinen
De betrokken IP-adressen, 185.11.61.243 en 185.147.124.110, hebben consistente activiteit gezien met meerdere unieke domeinen die eraan zijn toegewezen. Het eerste IP-adres is actief sinds 29 juli en host meer dan 109 unieke domeinen. Ondertussen is het tweede IP-adres op 25 november 2024 in gebruik genomen en is het momenteel gekoppeld aan 85 unieke domeinen die zijn ontworpen om malware te verspreiden.
Op 14 november 2024 werd een campagne gelanceerd op frecadsolutions.cc, waarbij Bitbucket werd gebruikt voor het hosten van bestanden. Het patroon zette zich voort met de verschijning van freecad-solutions.net op 26 november, dat aanvankelijk terugverbond naar het eerste IP-adres, maar later migreerde naar het tweede. Dit illustreert een gecoördineerde inspanning van de aanvallers om hun activiteiten voort te zetten, ondanks pogingen om hun sporen te verbergen via IP-switching.
Een reeks campagnes ging door tot in december, waarbij domeinen als rhino3dsolutions.net en planner5design.net werden geactiveerd, waarbij hun hosting tussen de twee kwaadaardige IP’s werd gemigreerd. Het aanhoudende karakter van deze aanvallen geeft aanleiding tot bezorgdheid over de effectiviteit van de huidige beschermingsmaatregelen tegen dergelijke geavanceerde malvertisingprogramma’s.
Wat de aard van de bedreigingen betreft, suggereren recente rapporten dat deze personen ook kwetsbaarheden in webbrowsers en advertentienetwerken kunnen misbruiken, waardoor het risico toeneemt voor gebruikers die onbedoeld op deze advertenties klikken. De omvang en volharding van deze campagnes onderstrepen de noodzaak van waakzaamheid bij zowel grafische ontwerpprofessionals als het grote publiek.
Uitgelichte afbeeldingscredits: Pankaj Patel/Unsplash
