Исследователи компании Guardio Labs раскрыли детали масштабной вредоносной кампании DeceptionAds, в рамках которой киберпреступники используют поддельные CAPTCHA для распространения опасного стилера Lumma. Атака примечательна своим инновационным подходом к социальной инженерии и масштабным охватом через легитимные рекламные сети.
Механика атаки и масштабы распространения
Злоумышленники, предположительно связанные с группировкой Vane Viper, задействовали рекламную сеть Monetag для распространения вредоносной рекламы. Ежедневно более миллиона рекламных объявлений показывались на 3000 различных веб-сайтах, преимущественно нацеленных на пользователей пиратских стриминговых платформ и ресурсов с нелицензионным программным обеспечением.
Техническая реализация и методы обхода защиты
Для усложнения обнаружения атаки киберпреступники использовали сервис BeMob, который обычно применяется для легитимного отслеживания эффективности рекламных кампаний. Злоумышленники эксплуатировали репутацию BeMob для обхода систем модерации контента Monetag, предоставляя вместо прямых ссылок на вредоносные ресурсы замаскированные URL-адреса.
Процесс заражения и функционал вредоносного ПО
При переходе по рекламной ссылке пользователь попадает на страницу с поддельной CAPTCHA, содержащей скрытый JavaScript-код. Этот код автоматически копирует в буфер обмена вредоносную PowerShell-команду. Жертву затем побуждают выполнить эту команду через Windows Run, что приводит к установке стилера Lumma.
Вредоносное ПО Lumma обладает широким функционалом по краже конфиденциальных данных, включая: файлы cookie, учетные данные, пароли, информацию о банковских картах и историю просмотров из популярных браузеров. Под угрозой находятся пользователи Google Chrome, Microsoft Edge, Mozilla Firefox и других Chromium-based браузеров.
Противодействие и текущий статус угрозы
После обнаружения вредоносной активности рекламная сеть Monetag заблокировала около 200 аккаунтов злоумышленников. Однако исследователи отмечают, что с 11 декабря кампания возобновилась с использованием альтернативных рекламных платформ, что указывает на адаптивность и устойчивость данной угрозы.
Специалисты по кибербезопасности рекомендуют пользователям проявлять повышенную бдительность при взаимодействии с рекламными баннерами и никогда не выполнять команды PowerShell из непроверенных источников. Важно помнить, что легитимные CAPTCHA никогда не требуют выполнения системных команд для подтверждения того, что вы не робот.