СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
17.11.2020
#ИБ

Посетители сайтов для взрослых стали жертвами вредоносного ПО ZLoader

Посетители сайтов для взрослых стали жертвами вредоносного ПО ZLoader

Специалисты по кибербезопасности компании Malwarebytes обнаружили киберпреступную операцию, рассчитанную на пользователей сайтов для взрослых с высоким уровнем посещаемости. Киберпреступники распространяли вредоносное ПО на ряде веб-сайтов: xHamster, Bravo Porn Tube, RedTube, PorhHub и на многих других, где наблюдалась посещаемость от нескольких миллионов человек ежемесячно.

Киберпреступная кампания получила название Malsmoke. Хакеры распространяли через сайты для взрослых Smoke Loader – дроппер вредоносных программ. Соответствующая киберпреступная кампания отслеживается специалистами по кибербезопасности уже около года.

Но с октября 2020 г. хакеры начали использовать новую технику, работающую в различных браузерах. В рамках новой киберпреступной операции используется «ложная веб-страница, которая заполнена изображениями (превью) к видеороликам эротического и порнографического содержания».

Киберпреступники, используя поддельное видео на сайте для взрослых, заманивали пользователей на просмотр – поддельный видеофайл открывался в новом окне браузера. Видео проигрывалось с артефактами несколько секунд, после чего появлялось уведомление о том, что для нормального воспроизведения файла требуется установить подключаемый модуль Java.

Хакеры намеренно создавали поврежденные файлы, чтобы у пользователей складывалось впечатление, что для их нормального воспроизведения действительно требуется установить дополнительные кодеки или стороннее программное обеспечение.

Специалисты из Malwarebytes отмечают в отчете, что уведомление о необходимости обновления Java для решения проблемы с потоковой передачей видео – сомнительное решение, потому что оно обычно применяется для решения иных задач: «Киберпреступникам следовало придумать поддельное обновления в любой другой форме. Выбор Java вызывает споры, потому что с потоковой передачей видео он никак не связан. Хотя многие из жертв и ничего не знают об этом».

Проанализировав полезную нагрузку, эксперты из Malwarebytes выяснили, что поддельное обновление представлено в виде подписанного установщика, содержащего легитимные библиотеки и исполняемые файлы. Но один из файлов (HelperDll.dll) является зашифрованным вариантом вредоносного ПО ZLoader.

Вредоносная программа ZLoader известна с 2018 года. Она применяет веб-инъекции для кражи учетных данных, финансовой информации, персональных данных, которые хранятся в браузерах (в том числе пароли, cookie).

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: