Команда кібербезпеки Microsoft розкрила масштабну кампанію зловмисного рекламного ПЗ (малвертайзингу), яка охопила приблизно мільйон комп’ютерів під керуванням Windows. Зловмисники розгорнули складну багаторівневу операцію, спрямовану на викрадення конфіденційних даних користувачів, облікових записів та криптовалютних активів.
Анатомія кіберзагрози: механізм поширення шкідливої реклами
Кампанія розпочалася у грудні 2024 року з розміщення шкідливої реклами на піратських стримінгових сервісах, зокрема movies7[.]net та 0123movie[.]art. Особливу небезпеку становило використання легітимних рекламних мереж та платіжних систем для монетизації зловмисного трафіку через спеціально налаштовані редиректори.
Технічні аспекти кібератаки
Зловмисники впровадили складну систему iframe-елементів, які ініціювали ланцюжок перенаправлень через проміжні ресурси, включаючи фальшиві сайти технічної підтримки. Кінцевою точкою ставали репозиторії GitHub із шкідливими компонентами. Додатково для розповсюдження використовувались популярні платформи Discord та Dropbox.
Багатоетапне розгортання шкідливого програмного забезпечення
Атака починалася зі збору технічних даних про пристрій жертви для оптимізації подальших дій. Наступними кроками були деактивація захисного ПЗ, встановлення зв’язку з командними серверами та впровадження шкідливого ПЗ NetSupport. Microsoft виявила та відкликала 12 скомпрометованих цифрових сертифікатів, які використовувались для надання легітимності шкідливому коду.
Масштаби та наслідки кібератаки
Кампанія не мала конкретної цільової аудиторії, вражаючи як приватних користувачів, так і організації. Основними інструментами викрадення даних були стилер Lumma та його відкритий аналог Doenerium. Шкідливе ПЗ систематично збирало браузерні дані, включаючи cookies, паролі та історію відвідувань, а також перевіряло наявність криптогаманців різних типів (Ledger Live, Trezor Suite, KeepKey тощо).
Цей інцидент демонструє зростаючу витонченість кіберзлочинців у використанні легітимних платформ для розповсюдження шкідливого ПЗ. Для захисту рекомендується уникати відвідування підозрілих ресурсів, регулярно оновлювати антивірусне ПЗ та використовувати багатофакторну автентифікацію для критично важливих сервісів. Додатково варто застосовувати спеціалізовані інструменти блокування реклами та моніторингу мережевої активності.
