10 Марта 2025 09:11 10 Мар 2025 09:11 |

Поделиться

Вредоносная реклама в пиратских кинотеатрах заразила троянами более миллиона ПК

Ловушка пиратов

Microsoft предпринимает усилия по остановке кампании вредоносной рекламы, которая уже затронула около 1 млн ПК по всему миру. К настоящему времени ликвидированы несколько репозиториев GitHub, которые использовались злоумышленниками.

Кампанию засекли в начале декабря 2024 г., когда обнаружилось, что из ряда репозиториев производится массовое скачивание программных компонентов. Эти компоненты оказались вредоносными: обосновавшись в системе, они начинали серийно догружать новые вредоносы.

Исследование показало, что злоумышленники встроили рекламные объявления в видео, которые были размещены на пиратских стриминговых площадках - речь идет о пиратских копиях фильмов. Эти объявления переводили пользователей на указанные репозитории GitHub.

Как пояснили в Microsoft, прямо в кинофильмы на пиратских сайтах были встроены редиректоры, которые перенаправляли траффик еще через несколько аналогичных редиректоров. В конечном счете пользователь оказывался на вредоносном сайте, где его обманом заставляли скачивать что-то с GitHub. Эти сайты нередко представляли собой мошеннические «службы технической поддержки».

Пиратские сайты, в свою очередь, получали отчисления от «рекламодателей» по традиционной модели - за клики и просмотры.

Длинная цепочка

Microsoft подробно описывает вредоносные компоненты, выявленные в ликвидированных репозиториях.

Вредоносы первой очереди осуществляли сбор данных о скомпрометированных системах, в том числе, об объеме доступной памяти, графических процессорах, разрешении экрана, операционной системе и пользовательских каталогах. Все эти данные выгружались на сервер под контролем злоумышленников. Одновременно загружались и устанавливались вредоносы второй и третьей стадий.

На третьем этапе, в частности, скрипт PowerShell закачивал троянец удаленного доступа NetSupport, и модифицировал системный реестр так, чтобы обеспечить вредоносной программе постоянство присутствия.

NetSupport, в свою очередь, подгружал инфостилеры, такие как Lumma и Doenerium, которые уже выкрадывали значимую пользовательскую информацию и реквизиты доступа из браузеров.

Кроме этого, компонент третьей стадии создает и запускает файл CMD, который подгружает переименованный интерпретатор AutoIt с расширением .com, а тот, в свою очередь, запускает двоичный файл, докачивающий еще одну версию AutoIt, уже с расширением .scr. К ним добавляется файл JavaScript, который помогает запускать и обеспечивать постоянство файлам .scr.

На последнем этапе атаки компоненты AutoIt используют RegAsm или PowerShell для запуска файлов, удаленного перевода браузеров в режим отладки и вывода дополнительной информации. В некоторых случаях PowerShell также используется для настройки путей исключения для антивируса Windows Defender и загрузки дополнительных компонентов NetSupport.

«Такие сложные схемы создаются для обхода максимального числа защитных механизмов операционной системы», — говорит Андрей Зайцев, эксперт по информационной безопасности компании SEQ. «Как легко заметить, схема неплохо работает: если жертв действительно около миллиона, значит, злоумышленники достигают своих целей. Это также свидетельствует о запредельном количестве посетителей пиратских ресурсов».

В Microsoft отметили, что GitHub - основной, но не единственный источник вредоносных файлов: с той же целью использовались аккаунты в Dropbox и Discord.

Активность злоумышленников отслеживается под условным наименованием Storm-0408 - это «зонтичный» термин для нескольких группировок, которые специализируются на вредоносном ПО для удаленного доступа и кражи данных, а также используют фишинг, SEO-оптимизацию и рекламу для распространения вредоносов.

Нынешняя кампания, по утверждению экспертов Microsoft Threat Intelligence, уже затронула широкий спектр организаций и отраслей. Жертвами становились как потребительские системы, так и корпоративные, что указывает на неразборчивость злоумышленников в выборе целей.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка