Дослідники виявили масштабну кампанію розповсюдження шкідливого ПЗ, до якої причетні хакери, афілійовані з росією, та комерційні рекламні платформи. Ціллю є мільйони користувачів по всьому світу, зламані WordPress-сайти й навʼязливі push-сповіщення.
Дослідники виявили масштабну кампанію розповсюдження шкідливого ПЗ, до якої причетні хакери, афілійовані з росією, та комерційні рекламні платформи. Ціллю є мільйони користувачів по всьому світу, зламані WordPress-сайти й навʼязливі push-сповіщення.
За даними TechRadar, йдеться про співпрацю кіберзлочинців із низкою комерційних платформ, зокрема Los Pollos, Partners House, RichAds та BroPush. Ці мережі не лише розміщують шкідливі оголошення, а й, як стверджують дослідники Infoblox Threat Intel, свідомо взаємодіють з афілійованими хакерами.
Суть механізму полягає у перенаправленні користувачів через серію фейкових банерів, CAPTCHA-підказок і push-нотифікацій, які зрештою ведуть до заражених сайтів або фішингових сторінок. Частина повідомлень навіть надсилається через легітимні сервіси на кшталт Google Firebase, що ускладнює виявлення.
Попри публічні заяви Los Pollos про закриття шкідливої функції push link monetization, атаки тривають через нові канали, зокрема Help TDS і Disposable TDS, які також повʼязують із VexTrio. Аналітика понад 4,5 млн DNS-запитів показала, що всі ці TDS-платформи мають спільну інфраструктуру, повторювані скрипти та поведінку.
Зловмисники використовують вразливості в WordPress, щоб вбудовувати JavaScript-редіректи на зламані сайти. Ці скрипти блокують навігацію, підмінюють посилання і пропонують виграш у фейкових розіграшах, спонукаючи користувача натиснути на небезпечне повідомлення.
Дослідники підкреслюють, що рекламні мережі не могли не знати, хто їхні «партнери». У деяких випадках зловмисники мали ексклюзивні контракти на розміщення трафіку, а дані афіліатів були відомі адміністраторам платформ.
Захиститися від цієї схеми повністю складно, особливо якщо шкідливі пуші приходять після згоди користувача. Експерти радять не активувати підозрілі сповіщення у браузері, уникати фейкових CAPTCHA, оновлювати WordPress, контролювати DNS-запити й використовувати інструменти з архітектурою Zero Trust. Водночас саме рекламні мережі мають ресурси і вплив, щоб зупинити подібні кампанії, якщо почнуть діяти.
Раніше ми писали, як у Києві поліція затримала учасника міжнародного хакерського угруповання, яке атакувало підприємства в ЄС, США та Канаді, використовуючи власноруч розроблені віруси-шифрувальники, після чого вимагали викуп у криптовалюті.
