Спецпроекты

Пользователи iPhone и iPad против своей воли зарабатывают деньги для рекламных мошенников

Безопасность

Код, спрятанный в графических баннерах, перенаправлял пользователей на фейковые ресурсы, откуда им предлагалось скачивать вредоносное ПО под видом обновлений для Flash.

Невинные картинки и невинный скрипт

Неизвестные злоумышленники воспользовались стеганографией — методом скрытой передачи данных, спрятанных в изображениях — для того, чтобы распространять вредоносный код среди пользователей компьютеров Apple Mac и устройств под iOS. С помощью этого кода производились массивные рекламные накрутки.

Эксперты компаний Confiant и Malwarebytes опубликовали исследование вредоносной рекламной кампании VeryMal, пики активности которой были отмечены в декабре 2018 г. и январе 2019 г.

Ее организаторы применили довольно нестандартный алгоритм для обхода средств безопасности и распространения вредоносного ПО: в графическую составляющую рекламных баннеров — в картинку — был интегрирован код, за считывание и запуск которого отвечал с виду невинный JavaScript. Антивирусные средства игнорировали и изображение, и этот скрипт, так что он свободно считывал символы из пикселей, выстраивал их в строчки кода и запускал этот код в браузере. Для этого никаких уязвимостей эксплуатировать не потребовалось.

Запущенный код перенаправлял пользователей на некие сомнительные ресурсы, откуда им предлагалось скачать поддельные обновления AdobeFlash и других программных пакетов. Эти фальшивые обновления, если пользователь устанавливал их, начинали производить интенсивную рекламную накрутку, имитируя переходы по баннерам недобросовестных рекламодателей и обеспечивая им тем самым существенные прибыли.

Хакеры заставили пользователей Apple накручивать рекламу их клиентам

Интересно, что код запускался только в том случае, если в системе поддерживались шрифты Apple. По каким-то причинам злоумышленники решили ограничиваться только пользователями продукции этой компании. Впрочем, аналогичные атаки ранее производились и на пользователей Windows.

Спекулятивная оценка

Между 11 и 13 января 2019 г. операторы VeryMal вели активную работу на двух биржах сетевой рекламы, которыми регулярно пользуются многие крупнейшие издатели в США.

По оценкам экспертов, вредоносную рекламу могли видеть до пяти миллионов человек, а накрутки могли обойтись отрасли в $1,2 млн в сутки. Впрочем, это спекулятивная оценка: в то время как мошенники действительно получили деньги, которые им не полагались, исследователи также предложили учитывать вероятный рост количества блокировщиков рекламы у рядовых пользователей, а также возможные репутационные потери для рекламных площадок.

Мнение эксперта

«Стеганография — по-прежнему хорошо работающий способ прятать код, и в данном случае злоумышленники очень умно подошли к делу, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Как показывает опыт, зачастую все фильтры безопасности оказываются по-прежнему бессильны перед вредоносной комбинацией безвредных компонентов. С другой стороны, в конечном счете атака все равно не состоится без участия пользователя, который устанавливает себе “обновление” непонятно откуда. А следовательно достаточно простой внимательности, чтобы сделать атаку неэффективной».



Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS

Взгляд месяца

На хайпе часто можно построить только фейк

Сергей Мацоцкий

основатель и член совета директоров IBS