Код, спрятанный в графических баннерах, перенаправлял пользователей на фейковые ресурсы, откуда им предлагалось скачивать вредоносное ПО под видом обновлений для Flash.

Невинные картинки и невинный скрипт

Неизвестные злоумышленники воспользовались стеганографией — методом скрытой передачи данных, спрятанных в изображениях — для того, чтобы распространять вредоносный код среди пользователей компьютеров Apple Mac и устройств под iOS. С помощью этого кода производились массивные рекламные накрутки.

Эксперты компаний Confiant и Malwarebytes опубликовали исследование вредоносной рекламной кампании VeryMal, пики активности которой были отмечены в декабре 2018 г. и январе 2019 г.

Ее организаторы применили довольно нестандартный алгоритм для обхода средств безопасности и распространения вредоносного ПО: в графическую составляющую рекламных баннеров — в картинку — был интегрирован код, за считывание и запуск которого отвечал с виду невинный JavaScript. Антивирусные средства игнорировали и изображение, и этот скрипт, так что он свободно считывал символы из пикселей, выстраивал их в строчки кода и запускал этот код в браузере. Для этого никаких уязвимостей эксплуатировать не потребовалось.

Запущенный код перенаправлял пользователей на некие сомнительные ресурсы, откуда им предлагалось скачать поддельные обновления AdobeFlash и других программных пакетов. Эти фальшивые обновления, если пользователь устанавливал их, начинали производить интенсивную рекламную накрутку, имитируя переходы по баннерам недобросовестных рекламодателей и обеспечивая им тем самым существенные прибыли.

Интересно, что код запускался только в том случае, если в системе поддерживались шрифты Apple. По каким-то причинам злоумышленники решили ограничиваться только пользователями продукции этой компании. Впрочем, аналогичные атаки ранее производились и на пользователей Windows.

Спекулятивная оценка

Между 11 и 13 января 2019 г. операторы VeryMal вели активную работу на двух биржах сетевой рекламы, которыми регулярно пользуются многие крупнейшие издатели в США.

По оценкам экспертов, вредоносную рекламу могли видеть до пяти миллионов человек, а накрутки могли обойтись отрасли в $1,2 млн в сутки. Впрочем, это спекулятивная оценка: в то время как мошенники действительно получили деньги, которые им не полагались, исследователи также предложили учитывать вероятный рост количества блокировщиков рекламы у рядовых пользователей, а также возможные репутационные потери для рекламных площадок.

Источник: cnews.ru