Для обмана своих жертв злоумышленники используют взломанные сайты и методы социальной инженерии.
Хорошо организованная и очень динамичная кампания по распространению вредоносного программного обеспечения набирает силу в Интернете. Скрипты, которые доставляются под видом обновлений популярных программ, устанавливают на зараженные компьютеры банковские трояны и другие зловреды.
Первыми забили тревогу ИБ-эксперты из исследовательской лаборатории Malwarebytes. Как утверждают специалисты, атака под названием FakeUpdates началась в декабре прошлого года. Источником трафика является сеть взломанных сайтов, которые перенаправляют посетителей на фальшивые страницы, предлагающие установить обновления Mozilla, Chrome, IE и Adobe Flash.
Большинство скомпрометированных ресурсов работают на WordPress, Joomla и Squarespace, однако злоумышленники не чураются и других платформ. Почти все зараженные сайты используют устаревшие версии CMS, на которых отсутствует ряд апдейтов безопасности. В их код внедряется сторонний скрипт, осуществляющий автоматическую переадресацию на подконтрольные преступникам страницы с «обновлениями» популярных программ.
Как нетрудно догадаться, попавшиеся на уловку злоумышленников посетители скачивают на свой компьютер отнюдь не новую версию браузера, а вредоносный JavaScript, размещенный в облачном хранилище. Оказавшись на зараженном устройстве, он подгружает основной зловред, в роли которого выступает банковский троян Chthonic или утилита RAT, эксплуатирующая недостатки NetSupport.
Несмотря на хорошую организацию и цепочку перенаправлений, затрудняющую обнаружение угрозы, кампания FakeUpdate не является новым словом в деле распространения вредоносных программ. После драматического снижения эффективности эксплойт-паков злоумышленники возвращаются к проверенным способам обмана пользователей.
Атаки с применением средств социальной инженерии не раз фиксировались экспертами по интернет-безопасности. Достаточно вспомнить известный кликер Kovter, который устанавливался под видом критически важных обновлений, или ориентированный на пользователей Mac OS X рекламный зловред OSX.Pirrit.
Осенью 2017-го мошенники вынуждали жертв устанавливать несуществующий шрифт HoeflerText. А уже в новом году много шума наделал шифровальщик GandCrab, распространявшийся при помощи замаскированных под платежные квитанции писем.