Американский веб-сайт Pornhub, входящий, согласно Alexa, в ведущую двадцатку по посещаемости, какое-то время использовался злоумышленниками для раздачи троянца-кликера Kovter через вредоносную рекламу.

Инициатором malvertising-кампании, по свидетельству Proofpoint, являлась криминальная группа KovCoreG. Помимо Pornhub, в ней были задействованы другие популярные сайты, использующие рекламную сеть TrafficJunky. Как можно понять из маркетинговых материалов TrafficJunky, эта сеть сотрудничает в основном с сайтами «для взрослых».

«Под угрозой атаки оказались миллионы потенциальных жертв в США, Канаде, Великобритании и Австралии, — пишут исследователи в блоге. — Схема заражения, использующая обновление браузера как приманку, с небольшими вариациями работала на всех трех основных браузерах для Windows».

Proofpoint уже год наблюдает malvertising-кампании KovCoreG. Новейшая из них примечательна тем, что использует популярный сайт Pornhub: его посещаемость в среднем составляет 8,7 млн уникальных визитов в сутки.

«Мы не располагаем точными данными о том, как давно были скомпрометированы Pornhub и TrafficJunky, однако нам известно, что KovCoreG Group больше года использует множество сайтов в рамках данной схемы, — заявил журналистам Threatpost Кевин Эпштейн, вице-президент Proofpoint по исследованию угроз. — Не исключено, что злоумышленники использовали Pornhub в течение некоторого времени, хотя и Pornhub, и TrafficJunky безотлагательно занялись проблемой, как только получили наше сообщение».

Вредоносная атака начинается с редиректора, размещенного на advertizingms[.]com, который перенаправляет посетителя на сайт в KeyCDN — крупной сети доставки контента. Здесь регистрируются тип браузера и географическое местоположение потенциальной жертвы, а затем вредоносная реклама «доставляет страницу, содержащую сильно обфусцированный JavaScript, идентичный тому, который использовали Neutrino и NeutrAds», как пишут исследователи. Кроме общего JavaScript-кода, никакой другой связи между KovCoreG  и группировкой, стоящей за эксплойт-паком Neutrino, в Proofpoint не обнаружили.

«Хотя активность эксплойт-паков за последний год резко снизилась, вредоносная реклама по-прежнему приносит доход злоумышленникам, которые умудряются проводить достаточно большие кампании и эффективно доставлять вредоносное ПО, несмотря на то, что уязвимых машин становится все меньше»,— констатируют исследователи. Чтобы повысить процент заражения, авторы malvertising-кампаний применяют различные фильтры и уповают на социальную инженерию вместо эксплойтов.

Так, при заходе на взломанный Pornhub через браузер Chrome посетителю выводилось поддельное сообщение Critical Chrome update («критически важное обновление для Chrome»). Если пользователь нажимал кнопку Download Now, на его ПК загружался zip-архив с файлом runme.js. «Файл runme.js, ассоциированный с фальшивым обновлением Chrome, сигналит тому же серверу, который используется для реализации социально-инженерной схемы, — поясняют исследователи. — Это обеспечивает дополнительный уровень защиты против повторных загрузок и попыток анализа».

В случае с Firefox пользователю отображается аналогичное сообщение Critical Firefox update с предложением сохранить файл firefox-patch.js на компьютере. Microsoft Edge и Internet Explorer отдается ложный апдейт для Adobe Flash Player — файл FlashPlayer.hta.

«Эта кампания использует элементы социальной инженерии, чтобы склонить пользователей к установке фальшивых обновлений, которые объявляются при заходе на страницу с вредоносной рекламой, — сказано в блог-записи Proofpoint. — Если пользователь кликнет на якобы файл обновления, он даже не заметит перемены в системе, а зловред тем временем запустит скрытый процесс браузера и начнет кликать по рекламным объявлениям, умножая доходы злоумышленников».

Тестирование показало, что вредоносный JavaScript загружает два файла: «Файл flv содержит цифры 704 и ключ RC4. Файл mp4 — это промежуточная нагрузка, шифруемая ключом RC4 из файла flv с последующим преобразованием в шестнадцатеричное число. 704 — скорее всего, идентификатор кампании».

Промежуточная нагрузка — это еще один JavaScript; он включает закодированный сценарий Powershell, который внедряет шелл-код для загрузки и запуска файла avi — собственно кликера Kovter. «Хотя полезной нагрузкой в данном случае является зловред для мошенничества с рекламой, ею с тем же успехом может оказаться вымогательское ПО, похититель информации или любая другая вредоносная программа, — предупреждают исследователи. — Распространители вредоносного ПО всегда ищут финансовую выгоду и повышают эффективность атак, сочетая социальную инженерию, таргетирование и префильтрацию, чтобы расширить масштаб заражения».

Категории: Аналитика, Вредоносные программы, Мошенничество