Opnieuw maken cybercriminelen gebruik van malafide advertenties die bij de zoekmachines van Google en Bing worden getoond om malware te verspreiden, die uiteindelijk tot ransomware kan leiden. Dat meldt antivirusbedrijf Sophos. Daarbij worden mensen die niet via de malafide advertenties, maar direct naar de website gaan gerickrolled.

De advertenties verschijnen wanneer er wordt gezocht op populaire software zoals AnyDesk, WinSCP en Cisco AnyConnect VPN. De advertenties wijzen naar gecompromitteerde WordPress-sites, waarop bijvoorbeeld een nagemaakte downloadpagina van Cisco de malware aanbiedt. Ook komt het voor dat de aanvallers hun eigen malafide sites hosten en die bijvoorbeeld voordoen als de officiële website van WinSCP.

Wanneer de website direct wordt bezocht zal die de bezoeker "rickrollen" en doorsturen naar een video van Rick Astleys klassieker “Never Gonna Give You Up”, zo meldt onderzoeker Gabor Szappanos. De installer die zowel op de gecompromitteerde als malafide websites is te vinden bevat de verwachte legitieme software, alsmede een malafide DLL-bestand dat de malware installeert. Deze malware kan uiteindelijk tot verdere infecties met ransomware leiden.

Eerder stelde antivirusbedrijf Trend Micro dat slachtoffers van de ALPHV-ransomware, ook bekend als BlackCat, via de malafide advertenties besmet waren geraakt. Sophos adviseert internetgebruikers onder andere om alert te zijn op advertenties van zoekmachines en een adblocker te gebruiken.