Onderzoekers hebben een malafide advertentiecampagne ontdekt die boekhouders met allerlei malware probeerde te infecteren, waaronder ransomware en backdoors. De advertenties werden via het advertentieplatform van Yandex verspreid, de grootste zoekmachine van Rusland.

De advertenties gingen over boekhouding en juridische zaken en verschenen onder andere op een legitiem boekhoudforum, alsmede verschillende andere boekhoud gerelateerde websites. Wanneer gebruikers van deze websites op bepaalde sleutelwoorden zochten, zoals templates voor facturen, verschenen de malafide advertenties. De advertenties maakten reclame voor een legitiem lijkende zakelijk website waar allerlei templates werden aangeboden.

In werkelijkheid waren de aangeboden bestanden backdoors, ransomware en malware die cryptovaluta steelt. De gebruikte Buhtrap-backdoor is in het verleden vaker tegen boekhoudafdelingen ingezet. Volgens antivirusbedrijf ESET hebben de aanvallers het vooral voorzien op organisaties in Rusland. De virusbestrijder waarschuwde Yandex, dat de malafide advertentiecampagne verwijderde.

De aanvallers gebruikten verschillende legitieme certificaten om hun malware te signeren. Dit zou kunnen helpen bij het omzeilen van bepaalde beschermingsmaatregelen van het systeem. Verder werd de malware enige tijd via GitHub verspreid, waarschijnlijk om niet op te vallen. Een professioneel uitziende website die naar GitHub wijst is niet meteen verdacht, aldus de onderzoekers.

Volgens ESET is de campagne een goed voorbeeld van hoe legitieme advertentiediensten gebruikt kunnen worden om malware te verspreiden. "Hoewel deze specifieke campagne Russische organisaties als doelwit had, zou het ons niet verbazen als een dergelijke campagne via niet-Russische advertentiediensten plaatsvindt", aldus de onderzoekers, die gebruikers adviseren om alleen software van bekende en betrouwbare softwareleveranciers te downloaden.