Группа киберпреступников создала 28 фальшивых маркетинговых агентств, чтобы скупать рекламу на веб-площадках и вести трафик на злонамеренные ресурсы. По оценкам экспертов, за 2017 год они показали свою рекламу более миллиарда раз, а число переходов по их объявлениям превысило 2,5 миллиона.

Преступную структуру обнаружили эксперты ИБ-компании Confiant, которые присвоили ей имя Zirconium. Описание схемы опубликовал сооснователь организации Джером Дангу (Jerome Dangu).

Первые агентства были зарегистрированы в феврале 2017. Злоумышленники создали для каждого из них сайт с фотографиями из стоков, завели профили руководителей в социальной сети LinkedIn, автоматизировали публикацию постов в соцмедиа. Каждое агентство работало на базе собственной, независимой IT-инфраструктуры, которая включала SSL-серверы, средства хостинга, рекламный движок для показа баннеров.

Смысл всей подготовительной работы состоял в том, чтобы усыпить подозрения крупных рекламных платформ, с которыми мошенники взаимодействовали на втором этапе операции.

«Агентства» выкупали баннерные позиции на легитимных сайтах, чтобы через цепочку автоматических переадресаций увести посетителей на злонамеренные площадки. Специальный JavaScript перемещал пользователя на новую страницу без каких-либо действий с его стороны.

Первый сайт, который открывался по клику на баннере, служил гейтвэем и перекидывал посетителя на промежуточный ресурс для создания отпечатка (fingerprint). Эта процедура позволяет проанализировать трафик и разбить его на сегменты, чтобы повысить эффективность рекламы.

Далее пользователь попадал еще на один сайт-прокладку, который уже распределял аудиторию по посадочным страницам. В пункте назначения преступники показывали уведомления о якобы устаревшем Flash Player, предложение установить некое ПО, ложное сообщение от техподдержки. Все это приводило к заражению компьютера, потере информации и денег.

Примечательно, что Zirconium зачастую не владели страницами, на которых в итоге оказывалась жертва. Подобно традиционным агентствам, злоумышленники перепродавали трафик, зарабатывая на комиссии.

Дангу сообщил, что мошенническая сеть могла еженедельно охватывать свыше 60% всех зарабатывающих на интернет-рекламе площадок. Практически все жертвы, которые перешли по баннерам Zirconium, проживают в США. Мобильные устройства остались в безопасности, все рекламные кампании ориентировались на персональные компьютеры. Операционная система при этом значения не имела — преступники вели атаки на пользователей Windows, Mac, Linux и Chrome OS.

Работа с легитимными рекламными платформами и успешная маскировка под многочисленные мелкие агентства помогала преступникам оставаться незамеченными большую часть 2017 года. В октябре злоумышленники стали активнее применять fingerprint-скрипты, это и привлекло к ним внимание экспертов ИБ. Дангу отмечает, что мошенники стремились с помощью лучшего таргетинга повысить эффективность своих кампаний — еще одна черта, которая роднит Zirconium с классическими маркетинговыми агентствами.

Аналитики изучили структуру рекламного конгломерата, который стоит за Zirconium, и обнаружили среди его владельцев оффшорные компании с сейшельскими адресами. Многие из них уже замечены в других мошеннических схемах — создании мобильных шпионов, полулегальных бирж криптовалюты, финансовых пирамидах. Одна организация оказалась связана с известной площадкой по обмену биткойнов BTC-e.com, которую летом 2017 года закрыло ФБР.

По словам Дангу, Zirconium представляет собой новаторское явление в области зловредной рекламы. Вплоть до прошлого года главным инструментом преступников были эксплойт-паки наподобие Terror или Kovtur. Повышение безопасности веб-браузеров, снижение распространенности Flash и прочие факторы позволили сократить их активность. Создатели Zirconium выстроили бизнес, который охватил 16 легитимных рекламных сетей. При этом почти 30 собственных агентств с видимостью активной работы помогали злоумышленникам обманывать системы автоматического показа рекламы, что и является ключевым элементом схемы, заключает автор.

Категории: Мошенничество, Хакеры