Специалисты по кибербезопасности из «Лаборатории Касперского» выявили новую масштабную кампанию по распространению вредоносного программного обеспечения. Злоумышленники используют изощренные методы социальной инженерии, маскируя свои атаки под легитимные элементы веб-страниц, такие как CAPTCHA и сообщения об ошибках браузера.
Механизм атаки: от рекламного баннера до заражения
Атака начинается с момента, когда пользователь кликает на полупрозрачный рекламный баннер, незаметно растянутый на весь экран веб-страницы. В большинстве случаев жертва перенаправляется на рекламные сайты, продвигающие различные программные продукты. Однако в некоторых ситуациях пользователь попадает на страницу с вредоносной CAPTCHA.
В отличие от настоящих систем проверки, эта поддельная CAPTCHA служит для продвижения сомнительных ресурсов или, что еще опаснее, для распространения вредоносного ПО. Злоумышленники могут предложить пользователю выполнить ряд действий, якобы направленных на проверку защиты от роботов или устранение проблем в работе браузера.
Техника социальной инженерии
Если пользователь следует инструкциям злоумышленников, он фактически вручную выполняет вредоносный PowerShell-код. Этот код, зашифрованный методом base64, содержит команды для загрузки и установки вредоносного ПО на компьютер жертвы.
Географическое распространение и целевые аудитории
Исследователи отмечают, что наибольшее количество атак зафиксировано в России, Бразилии, Испании и Италии. Изначально целевой аудиторией злоумышленников были геймеры, посещающие сайты с пиратскими играми. Однако теперь атаки распространились на более широкий спектр ресурсов, включая букмекерские сайты, платформы с контентом для взрослых и аниме-сообщества.
Эволюция вредоносного ПО
Эксперты «Лаборатории Касперского» сообщают, что злоумышленники расширили арсенал используемого вредоносного ПО. Помимо ранее известного стилера Lumma, теперь применяется троян Amadey. Оба этих вредоносных программ способны похищать логины и пароли из браузеров, данные криптокошельков, делать скриншоты и устанавливать инструменты для удаленного доступа.
Дополнительные методы монетизации
После заражения устройства жертвы, вредоносное ПО начинает активно «посещать» различные рекламные адреса. Предполагается, что таким образом злоумышленники получают дополнительную прибыль, искусственно увеличивая количество просмотров рекламы с зараженных устройств.
Василий Колесников, эксперт по кибербезопасности «Лаборатории Касперского», комментирует: «Покупка рекламных мест под баннеры, которые ведут пользователей на вредоносные страницы, — распространенный метод среди злоумышленников. Однако в этой кампании они существенно расширили свой охват, размещая вредоносную рекламу на сайтах разной тематики, а также использовали новый сценарий с фальшивыми ошибками в браузерах».
Данная кампания демонстрирует растущую изощренность киберпреступников и подчеркивает важность повышения осведомленности пользователей о методах социальной инженерии. Рекомендуется проявлять особую бдительность при взаимодействии с рекламными баннерами, CAPTCHA и сообщениями об ошибках в браузере, особенно если они предлагают выполнить нестандартные действия. Регулярное обновление программного обеспечения и использование надежных средств защиты остаются ключевыми элементами обеспечения кибербезопасности в современных условиях.
