Хорошо организованная и очень динамичная кампания по распространению вредоносного программного обеспечения набирает силу в Интернете. Скрипты, которые доставляются под видом обновлений популярных программ, устанавливают на зараженные компьютеры банковские трояны и другие зловреды.

Первыми забили тревогу ИБ-эксперты из исследовательской лаборатории Malwarebytes. Как утверждают специалисты, атака под названием FakeUpdates началась в декабре прошлого года. Источником трафика является сеть взломанных сайтов, которые перенаправляют посетителей на фальшивые страницы, предлагающие установить обновления Mozilla, Chrome, IE и Adobe Flash.

Большинство скомпрометированных ресурсов работают на WordPress, Joomla и Squarespace, однако злоумышленники не чураются и других платформ. Почти все зараженные сайты используют устаревшие версии CMS, на которых отсутствует ряд апдейтов безопасности. В их код внедряется сторонний скрипт, осуществляющий автоматическую переадресацию на подконтрольные преступникам страницы с “обновлениями” популярных программ.

Как нетрудно догадаться, попавшиеся на уловку злоумышленников посетители скачивают на свой компьютер отнюдь не новую версию браузера, а вредоносный JavaScript, размещенный в облачном хранилище. Оказавшись на зараженном устройстве, он подгружает основной зловред, в роли которого выступает банковский троян Chthonic или утилита RAT, эксплуатирующая недостатки NetSupport.

Несмотря на хорошую организацию и цепочку перенаправлений, затрудняющую обнаружение угрозы, кампания FakeUpdate не является новым словом в деле распространения вредоносных программ. После драматического снижения эффективности эксплойт-паков злоумышленники возвращаются к проверенным способам обмана пользователей.

Атаки с применением средств социальной инженерии не раз фиксировались экспертами по интернет-безопасности. Достаточно вспомнить известный кликер Kovter, который устанавливался под видом критически важных обновлений, или ориентированный на пользователей Mac OS X рекламный зловред OSX.Pirrit.

Осенью 2017-го мошенники вынуждали жертв устанавливать несуществующий шрифт HoeflerText. А уже в новом году много шума наделал шифровальщик GandCrab, распространявшийся при помощи замаскированных под платежные квитанции писем.

Категории: Вредоносные программы, Мошенничество