В прошлом году увеличилось количество злоумышленников, злоупотребляющих макросами Microsoft Office для заражения систем своих жертв вредоносными программами, что побудило Microsoft блокировать макросы, встроенные в документы загруженные из Интернета. В ответ злоумышленникам пришлось перейти к альтернативным методам распространения и заражения вредоносным ПО, включая вредоносную рекламу. Вредоносная реклама включает в себя размещение рекламы, которая либо напрямую распространяет вредоносное ПО, либо обманом заставляет пользователей его загрузить.

Исследователи SentinelLabs недавно наблюдали за семейством загрузчиков вредоносных программ, которые используют виртуализацию KoiVM.NET, которая запутывает код, заменяя его виртуализированным кодом понятным только среде виртуализации. Когда загрузчики вредоносных программ запускаются, механизм виртуальной машины переводит запутанный код в исходный код. Таким образом вредоносный код скрывается до тех пор пока он не запустится, и в этот момент антивирусное программное обеспечение не успевает предупредить пользователя.

Исследователи назвали такие загрузчики вредоносных программ "MalVirt". Многие из этих загрузчиков также используют дополнительные методы запутывания, включая шифрование вредоносных строк и ложные серверы управления и контроля (C2). SentinelLabs в настоящее время отслеживает текущую кампанию MalVirt по распространению вредоносных программ для кражи информации, а именно Formbook и XLoader. Этот вид вредоносного ПО извлекает пароли и другую конфиденциальную информацию из зараженных систем.

Эта кампания использует Google Ads для размещения ссылок на вредоносные веб-сайты в верхней части результатов поиска Google. Эти веб-сайты имитируют веб-сайты настоящего программного обеспечения, имеют похожие доменные имена и часто выглядят почти одинаково. Однако, когда пользователи пытаются загрузить рекламируемое программное обеспечение с этих веб-сайтов срабатывают загрузчики MalVirt. Во избежание случайной загрузки вредоносного ПО с одного из этих сайтов пользователям лучше вообще не нажимать на результаты поиска с пометкой "Реклама".