______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Фальшивое обновление браузера загружает зловреды

 

ИБ-специалист Денис Синегубко (Denis Sinegubko) обнаружил кампанию по распространению троянов и банкеров через сеть взломанных сайтов. Ее организаторы рассылают посетителям зараженных ресурсов фальшивые оповещения о необходимости обновления браузера.

Сообщения отображаются в Firefox, Chrome, Internet Explorer, Edge и содержат ссылки на разные типы вредоносов: для Windows преступники подготовили шифровальщик, а для Android — банковский троян.

Мошенническое ПО распространяется в виде EXE- и APK-файлов, а также ZIP-архивов. По данным экспертов, оно размещено более чем на 1500 сайтах. Большинство этих ресурсов работают на WordPress, остальные — либо на Data Life Engine, либо не используют CMS вообще.

Злоумышленники задействуют скомпрометированные сайты на разных этапах атаки. Некоторые страницы нужны им для рассылки фальшивых оповещений — для этого преступники внедряют в них JavaScript-сценарий либо ссылку на файл с расширением .js. На других сайтах мошенники размещают непосредственно вредоносное ПО.

Исследователь Питер Грамантик (Peter Gramantik) изучил один из распространяемых злоумышленниками файлов. Для этого он перешел по ссылке в фальшивом оповещении и скачал ZIP-архив. Последний весил около 3 Кб и содержал только один JavaScript-скрипт — Update_2019_02.browser-components .js. Чтобы скрыть расширение, мошенники добавили в конце названия зловреда 100 пробелов.

По словам эксперта, скрипт исполняется через службу Windows Script Host и использует ее для загрузки файла browser.jpg со взломанных сайтов. Несмотря на расширение, последний можно запустить в командной строке по команде cmd.exe /c <downloaded_file>. Грамантик считает, что в поддельном изображении содержится вымогатель.

Примечательно, что в 2018 году, возможно, те же злоумышленники провели идентичную кампанию. В рамках атаки FakeUpdates они распространяли банковские трояны и другое ПО под видом обновлений для браузеров Firefox, Chrome и Internet Explorer. Для рассылки зловредов использовались скомпрометированные сайты, работающие на WordPress и других CMS.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх