2642 подписчика

Фреймворк-паразит

23 июля 201923 июл 2019

116

1 мин

Недавно был найден крупный фреймворк, который паразитировал на рекламе Google AdSense, просмотрах стримов Twitch и генерации фальшивых лайков на YouTube.

Основными браузерами злоумышленников являются Яндекс.Браузер, Google Chrome и Mozilla Firefox, работающие на Windows.

Известно, что только за последние 3 месяца через этот фреймворк прошло около 1 млрд рекламных объявлений.

Заражение компьютера начинается с использования модуля Installer, который устанавливает вредоносное расширение для браузера, а также обеспечивает постоянное присутствие в системе, притворяясь Windows Update.

Затем модуль фреймворка, под названием Finder, начинает собирать файлы cookie и учётные данные, отправляя их злоумышленникам в формате ZIP-архивов.

Также модуль поддерживает связь с вторичным управляющим сервером, который передаёт команды и сообщает, с какой частотой нужно похищать данные.

Модуль Patcher использовался в ранней версии фреймворка для установки вредоносного расширения, но в последних версиях был уже включен в модуль Installer.

После компрометации браузера расширение немедленно приступает к работе, начиная внедрять рекламу на сайты и генерировать скрытый для пользователя трафик, например, смотреть в фоновом режиме видео на YouTube и стримы на Twitch.

Код фреймворка связан с рекламным мошенничеством и включает в себя скрипты, которые подменяют рекламу на веб-страницах. Также фреймворк содержит код для отслеживание информации о кликах и передачи данных на серверы.

Интересно то, что внедрение рекламы происходит не на всех сайтах, которые посещает пользователь.

Известно, что фреймворк имеет "чёрные списки", в которые входят домены Google, различные российские ресурсы и порно-сайты.

Данная мошенническая компания сосредоточена в нескольких странах, включая Россию, Украину и Казахстан.