Специалисты обнаружили группировку, которая массово атакует пользователей iOS в США

Вредоносная реклама уже успела вмешаться в работу 300 млн браузерных сессий за 48 часов. Подозрительную активность исследователям Confiant удалось заметить еще 12 ноября, когда их телеметрия показала неожиданный скачок активности. Как оказалось, группировка ScamClub внедрила свой вредоносный код в рекламу на множестве легитимных сайтов, и через длинную цепочку редиректов пользователей перенаправляли на фишинговый сайт взрослой тематики и мошеннический ресурс с подарочными картами. Название хак-группы образовано от имен доменов этих сайтов: hipstarclub[.]com и luckstarclub[.]com.

Начав изучать странный скачок активности, эксперты обнаружили, что группировка активна с августа 2018 года. Дело в том, что ранее действия ScamClub были не столь масштабны и заметны: злоумышленники использовали для атак небольшие рекламные сети, и их кампания не затрагивала большие и известные сайты. В ноябре же хакерам удалось получить доступ к неназванной крупной рекламной бирже, после чего вредоносная реклама вмешалась в работу 300 млн браузерных сессий за 48 часов. Исследователи рассказывают, что пострадали 57% клиентов Confiant.

По данным Confiant, вредоносная реклама имитировала различные существующие приложения для Android и была нацелена на пользователей iOS из США (среди пострадавших 99,5% находились в США и 96% пользовались устройствами Apple). Очевидно, пользователи iOS являются основой целью ScamClub в силу того, что на мобильных устройствах в целом гораздо реже установлены блокировщики рекламы.

Масштабная вредоносная кампания была прекращена уже 13 ноября, когда биржа обнаружила происходящее и удалила опасные объявления. Тем не менее, группа ScamClub продолжает существовать и по-прежнему активна. В настоящее время исследователи фиксируют порядка 300 000 попыток атак в день, то есть хакеры вновь вернулись к использованию небольших рекламных сетей.

Исследователи считают, что всё дело в том, что вредоносный код, который ScamClub скрывает в рекламных объявлениях, хорошо уклоняется от анализа, обнаруживает, если был запущен в виртуальной среде, и в таких ситуациях ведет себя совсем не так, как на реальном устройстве. Фактически, вредоносная реклама не делает в таких случаях ничего вредоносного, не приводит в действие редиректы, и в итоге ускользает от внимания исследователей. Именно поэтому упомянутые выше домены группы, hipstarclub[.]com и luckstarclub[.]com, на которые в итоге попадали атакованные пользователи, долгое время оставались никем незамеченными.

Напомним, как определить владельца сайта: эксперты подготовили ответ.

Как писала Politeka, iOS оказалась фейком: Apple разозлила миллионы пользователей.

Politeka ранее сообщала, старые iPhone превратились в добычу для хакеров.