Посетители сайтов для взрослых стали жертвами вредоносного ПО ZLoader

Дата: 17.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Посетители сайтов для взрослых стали жертвами вредоносного ПО ZLoader

Специалисты по кибербезопасности компании Malwarebytes обнаружили киберпреступную операцию, рассчитанную на пользователей сайтов для взрослых с высоким уровнем посещаемости. Киберпреступники распространяли вредоносное ПО на ряде веб-сайтов: xHamster, Bravo Porn Tube, RedTube, PorhHub и на многих других, где наблюдалась посещаемость от нескольких миллионов человек ежемесячно.

Киберпреступная кампания получила название Malsmoke. Хакеры распространяли через сайты для взрослых Smoke Loader – дроппер вредоносных программ. Соответствующая киберпреступная кампания отслеживается специалистами по кибербезопасности уже около года.

Но с октября 2020 г. хакеры начали использовать новую технику, работающую в различных браузерах. В рамках новой киберпреступной операции используется «ложная веб-страница, которая заполнена изображениями (превью) к видеороликам эротического и порнографического содержания».

Киберпреступники, используя поддельное видео на сайте для взрослых, заманивали пользователей на просмотр – поддельный видеофайл открывался в новом окне браузера. Видео проигрывалось с артефактами несколько секунд, после чего появлялось уведомление о том, что для нормального воспроизведения файла требуется установить подключаемый модуль Java.

Хакеры намеренно создавали поврежденные файлы, чтобы у пользователей складывалось впечатление, что для их нормального воспроизведения действительно требуется установить дополнительные кодеки или стороннее программное обеспечение.

Специалисты из Malwarebytes отмечают в отчете, что уведомление о необходимости обновления Java для решения проблемы с потоковой передачей видео – сомнительное решение, потому что оно обычно применяется для решения иных задач: «Киберпреступникам следовало придумать поддельное обновления в любой другой форме. Выбор Java вызывает споры, потому что с потоковой передачей видео он никак не связан. Хотя многие из жертв и ничего не знают об этом».

Проанализировав полезную нагрузку, эксперты из Malwarebytes выяснили, что поддельное обновление представлено в виде подписанного установщика, содержащего легитимные библиотеки и исполняемые файлы. Но один из файлов (HelperDll.dll) является зашифрованным вариантом вредоносного ПО ZLoader.

Вредоносная программа ZLoader известна с 2018 года. Она применяет веб-инъекции для кражи учетных данных, финансовой информации, персональных данных, которые хранятся в браузерах (в том числе пароли, cookie).

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *