Новая крупномасштабная кампания по распространению вредоносного ПО Lumma (класса «инфостилер») через фальшивые страницы с капчей была выявлена исследователями из Guardio Labs и Infoblox. Злоумышленники используют «малвертайзинг» — намеренное размещение вредоносных рекламных объявлений, которые эксплуатируют уязвимости в цифровой рекламной экосистеме. В результате тысячи жертв подвергаются риску кражи учётных данных и финансовых потерь.
Согласно данным исследования, кампания опирается на рекламную платформу Monetag (дочернюю структуру PropellerAds) для распространения фальшивых страниц с капчей. Пользователи сталкиваются с этими поддельными страницами при просмотре внешне безобидных сайтов, где им предлагается подтвердить личность, пройдя проверку «Я не робот».
Однако при выполнении этого действия в фоновом режиме запускается PowerShell-скрипт, устанавливающий вредоносное ПО. Программа нацелена на кражу чувствительных данных: логинов от социальных сетей, банковской информации и личных файлов.
Ключевые выводы исследования:
Роль рекламных сетей
В Guardio Labs отмечают, что инфраструктура рекламных сетей, подобных Monetag, способствует подобным кампаниям. Рекламные скрипты Monetag применяют системы распределения трафика (TDS), анализирующие посетителей и оптимизирующие размещение объявлений. Эти механизмы, изначально предназначенные для легитимной рекламы, используются для массового распространения вредоносного контента.
Малвертайзинговые кампании процветают благодаря размытости зон ответственности. Рекламные сети, трекинговые сервисы, издатели сайтов и хостинг-провайдеры по отдельности играют определённую роль, но зачастую уклоняются от прямой ответственности. Злоумышленники пользуются этими «белыми пятнами», сначала согласовывая безобидный креатив, а затем подменяя его на вредоносный.
Подробнее о борьбе с малвертайзингом читайте в рекомендациях NCSC: “NCSC Publishes Tips to Tackle Malvertising Threat”.
«Эта кампания с поддельными капчами — лишь один пример, демонстрирующий теневую сторону рекламной экосистемы интернета, — предупреждают в Guardio Labs. — Пока реклама остаётся краеугольным камнем современного интернета, сама рекламная экосистема сталкивается с серьёзным конфликтом интересов, создающим брешь в безопасности и ставящим под угрозу пользователей».
После публикации расследования Monetag и BeMob предприняли меры, заблокировав более 200 учётных записей, связанных с кампанией. Тем не менее, эксперты подчёркивают необходимость упреждающих мер, таких как постоянная модерация контента и более строгая валидация аккаунтов, чтобы предотвратить новые злоупотребления.
Согласно данным исследования, кампания опирается на рекламную платформу Monetag (дочернюю структуру PropellerAds) для распространения фальшивых страниц с капчей. Пользователи сталкиваются с этими поддельными страницами при просмотре внешне безобидных сайтов, где им предлагается подтвердить личность, пройдя проверку «Я не робот».
Однако при выполнении этого действия в фоновом режиме запускается PowerShell-скрипт, устанавливающий вредоносное ПО. Программа нацелена на кражу чувствительных данных: логинов от социальных сетей, банковской информации и личных файлов.
Ключевые выводы исследования:
- Широкомасштабный охват: свыше 1 миллиона рекламных показов в день, при этом трафик перенаправляется через более чем 3000 сайтов.
- Механизм доставки вредоносного ПО: цепочки перенаправлений и скрытые скрипты внедряют поддельные страницы капчи через рекламные сети.
- Продвинутое сокрытие: злоумышленники применяли такие сервисы, как BeMob, для маскировки злонамеренных намерений от модераторов рекламных площадок.
Роль рекламных сетей
В Guardio Labs отмечают, что инфраструктура рекламных сетей, подобных Monetag, способствует подобным кампаниям. Рекламные скрипты Monetag применяют системы распределения трафика (TDS), анализирующие посетителей и оптимизирующие размещение объявлений. Эти механизмы, изначально предназначенные для легитимной рекламы, используются для массового распространения вредоносного контента.
Малвертайзинговые кампании процветают благодаря размытости зон ответственности. Рекламные сети, трекинговые сервисы, издатели сайтов и хостинг-провайдеры по отдельности играют определённую роль, но зачастую уклоняются от прямой ответственности. Злоумышленники пользуются этими «белыми пятнами», сначала согласовывая безобидный креатив, а затем подменяя его на вредоносный.
Подробнее о борьбе с малвертайзингом читайте в рекомендациях NCSC: “NCSC Publishes Tips to Tackle Malvertising Threat”.
«Эта кампания с поддельными капчами — лишь один пример, демонстрирующий теневую сторону рекламной экосистемы интернета, — предупреждают в Guardio Labs. — Пока реклама остаётся краеугольным камнем современного интернета, сама рекламная экосистема сталкивается с серьёзным конфликтом интересов, создающим брешь в безопасности и ставящим под угрозу пользователей».
После публикации расследования Monetag и BeMob предприняли меры, заблокировав более 200 учётных записей, связанных с кампанией. Тем не менее, эксперты подчёркивают необходимость упреждающих мер, таких как постоянная модерация контента и более строгая валидация аккаунтов, чтобы предотвратить новые злоупотребления.