Специалисты по кибербезопасности компании Malwarebytes обнаружили киберпреступную операцию, рассчитанную на пользователей сайтов для взрослых с высоким уровнем посещаемости. Киберпреступники распространяли вредоносное ПО на ряде веб-сайтов: xHamster, Bravo Porn Tube, RedTube, PorhHub и на многих других, где наблюдалась посещаемость от нескольких миллионов человек ежемесячно.
Киберпреступная кампания получила название Malsmoke. Хакеры распространяли через сайты для взрослых Smoke Loader – дроппер вредоносных программ. Соответствующая киберпреступная кампания отслеживается специалистами по кибербезопасности уже около года.
Но с октября 2020 г. хакеры начали использовать новую технику, работающую в различных браузерах. В рамках новой киберпреступной операции используется «ложная веб-страница, которая заполнена изображениями (превью) к видеороликам эротического и порнографического содержания».
Киберпреступники, используя поддельное видео на сайте для взрослых, заманивали пользователей на просмотр – поддельный видеофайл открывался в новом окне браузера. Видео проигрывалось с артефактами несколько секунд, после чего появлялось уведомление о том, что для нормального воспроизведения файла требуется установить подключаемый модуль Java.
Хакеры намеренно создавали поврежденные файлы, чтобы у пользователей складывалось впечатление, что для их нормального воспроизведения действительно требуется установить дополнительные кодеки или стороннее программное обеспечение.
Специалисты из Malwarebytes отмечают в отчете, что уведомление о необходимости обновления Java для решения проблемы с потоковой передачей видео – сомнительное решение, потому что оно обычно применяется для решения иных задач: «Киберпреступникам следовало придумать поддельное обновления в любой другой форме. Выбор Java вызывает споры, потому что с потоковой передачей видео он никак не связан. Хотя многие из жертв и ничего не знают об этом».
Проанализировав полезную нагрузку, эксперты из Malwarebytes выяснили, что поддельное обновление представлено в виде подписанного установщика, содержащего легитимные библиотеки и исполняемые файлы. Но один из файлов (HelperDll.dll) является зашифрованным вариантом вредоносного ПО ZLoader.
Вредоносная программа ZLoader известна с 2018 года. Она применяет веб-инъекции для кражи учетных данных, финансовой информации, персональных данных, которые хранятся в браузерах (в том числе пароли, cookie).
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
