Группировка ScamClub организовала одну из самых продуктивных malvertising‑кампаний в истории. Всего за два дня преступники показали более 300 млн баннеров, которые перебрасывали пользователей на фишинговые страницы и сайты с порноконтентом.

Суть данного вида мошенничества заключается в перехвате интернет-посетителей с помощью вредоносных рекламных объявлений. Для размещения таких баннеров злоумышленники обращаются к рекламным агентствам, как правило, небольшим — они менее придирчивы к заказчикам. Через malvertising преступники могут распространять вредоносное ПО, добывать криптовалюту или, как в случае ScamClub, заниматься фишингом.

Группировка получила такое название по двум посадочным доменам, на которых оказывались жертвы, — hipstarclub[.]com и luckstarclub[.]com. Вредоносный скрипт в баннерах ScamClub перебрасывал пользователей на эти площадки, где им предлагали порноконтент или обещали деньги за выполнение простых тестов.

Истинной целью преступников были персональные данные, которые нужно было ввести на финальном этапе. Примечательно, что переадресация происходила автоматически, не требуя от жертвы никаких действий на скомпрометированном сайте.

Преступники ориентировались на пользователей iOS-устройств из США. Сами баннеры при этом по какой-то причине рекламировали Android-приложения. По словам экспертов, обладатели смартфонов и планшетов привлекли внимание группировки потому, что они реже вооружаются блокировщиками рекламы, чем пользователи настольных компьютеров.

Как показало расследование, злоумышленники запустили кампанию еще в августе. Обнаружить ее удалось только 12 ноября, когда организаторы резко нарастили активность. Специалисты связывают этот скачок с тем, что мошенники смогли обойти фильтры одной из крупных рекламных платформ.

Уже 13 ноября нежелательные объявления заблокировали, но за это время 300 млн вредоносных баннеров успели открутиться на 57% сайтов, которые сотрудничают с неназванной сетью. Группировка продолжает кампанию и сейчас, но уже с меньшим размахом — без доступа к премиальным размещениям преступники показывают по 300 тыс. объявлений в сутки.

Аналитики предположили, что группировке удавалось так долго оставаться незамеченной благодаря специальной маскировочной функции. Скрипт ScamClub распознает виртуальное окружение антивирусной песочницы и включает переадресацию только при открытии в настоящем браузере. Кроме того, на пути к финальному домену пользователь проходит через множество подставных сайтов. Эта цепочка переадресаций запутывает автоматические фильтры.

В результате кампания ScamClub попала в список самых успешных malvertising-акций в истории. Эксперты сравнивают мошенников с группировкой Zirconium, которая в 2017 году создала сеть из фальшивых маркетинговых агентств. Это открыло злоумышленникам доступ к популярным веб-ресурсам, где за год они показали около 1 млрд опасных баннеров. ScamClub добилась трети этого результата за два дня.

В августе эксперты заблокировали еще одну крупную вредоносную рекламную сеть, которая размещала баннеры на 10 тыс. сайтов. Ее организаторы также смогли войти в партнерство с одной из платформ, после чего стали продвигать опасное ПО и красть личную информацию.

Категории: Главное, Мошенничество, Спам