Из всех киберпреступных групп наибольшей креативностью отличаются мошенники, занимающиеся вредоносной рекламой. Из-за скорости, с которой разработчики браузеров приспосабливаются к появляющимся угрозам, им приходится регулярно придумывать что-то новенькое.
Как сообщают специалисты ИБ-компании Malwarebytes, наблюдающие за развитием киберпреступных группировок и их кампаний, в течение последних нескольких месяцев мошенники взяли на вооружение новый способ обмана пользователей. Трюк заключается в том, чтобы заставить посетителя сайта, отображающего вредоносную рекламу, кликнуть на всплывающий баннер.
Как и у большинства вплывающих окон, в верхнем правом углу баннера отображается кнопка для закрытия. Тем не менее, когда пользователь хочет закрыть рекламу и наводит курсор на крестик, в самый последний момент окно увеличивается, и курсор оказывается не на крестике, а на баннере. В результате вместо того, чтобы нажать на кнопку «Закрыть», пользователь кликает на рекламу.
Как пояснил эксперт Malwarebytes Жером Сегура (Jérôme Segura), мошенники используют динамически присоединенный к странице CSS-код, который следит за курсором мыши и реагирует, когда тот оказывается над кнопкой «Закрыть». Здесь очень важно рассчитать время, чтобы жертва успела кликнуть до того, как появится расширенный рекламный баннер.
Новый трюк активно использует одна из двух группировок, эксплуатирующих уязвимости нулевого дня в плагинах WordPress. Киберпреступники внедрили во взломанные сайты код для перехвата небольшой части трафика, который затем перенаправляется через различные вредоносные ресурсы – поддельные сайты техподдержки, мошенническую рекламу, интернет-магазины со встроенными скиммерами и пр.
Поскольку трюк с увеличением окна предполагает использование CSS-кода, его можно заблокировать с помощью обычного блокировщика рекламы. Однако блокировщик и так предотвратит загрузку рекламы внутри всплывающего окна, поэтому трюк не может сработать в принципе.