Фахівці виявили угруповання, яке масово атакує користувачів iOS в США

Шкідлива реклама вже встигла втрутитися в роботу 300 млн браузерних сесій за 48 годин. Підозрілу активність дослідникам Confiant вдалося помітити ще 12 листопада, коли їх телеметрія показала несподіваний стрибок активності. Як виявилося, угруповання ScamClub впровадила свій шкідливий код в рекламу на безлічі легітимних сайтів, і через довгий ланцюжок редиректів користувачів перенаправляли на фішингових сайтів дорослої тематики і шахрайський ресурс з подарунковими картками. Назва хак-групи утворено від імен доменів цих сайтів: hipstarclub [.] Com і luckstarclub [.] Com.

Почавши вивчати дивний стрибок активності, експерти виявили, що угруповання активна з серпня 2018 року. Справа в тому, що до цієї події ScamClub були не такі масштабні й помітні: зловмисники використовували для атак невеликі рекламні мережі, і їхня кампанія не зачіпала великі і відомі сайти. У листопаді ж хакерам вдалося отримати доступ до неназваної великої рекламної біржі, після чого шкідлива реклама втрутилася в роботу 300 млн браузерних сесій за 48 годин. Дослідники розповідають, що постраждали 57% клієнтів Confiant.

За даними Confiant, шкідлива реклама імітувала різні існуючі додатки для Android і була націлена на користувачів iOS з США (серед постраждалих 99,5% перебували в США і 96% користувалися пристроями Apple). Очевидно, користувачі iOS є основою метою ScamClub в силу того, що на мобільних пристроях в цілому набагато рідше встановлені блокувальники реклами.

Масштабна шкідлива кампанія була припинена вже 13 листопада, коли біржа виявила, що відбувається і видалила небезпечні оголошення. Проте, група ScamClub продовжує існувати і як і раніше активна. В даний час дослідники фіксують близько 300 000 спроб атак в день, тобто хакери знову повернулися до використання невеликих рекламних мереж.

Дослідники вважають, що вся справа в тому, що шкідливий код, який ScamClub приховує в рекламних оголошеннях, добре ухиляється від аналізу, виявляє, якщо був запущений у віртуальному середовищі, і в таких ситуаціях поводиться зовсім не так, як на реальному пристрої. Фактично, шкідлива реклама не робить в таких випадках нічого шкідливого, не приводить в дію редіректи, і в підсумку залишається поза увагою дослідників. Саме тому згадані вище домени групи, hipstarclub [.] Com і luckstarclub [.] Com, на які в підсумку потрапляли атаковані користувачі, довгий час залишалися ніким непоміченими.

Нагадаємо, як визначити власника веб-сайту: експерти підготували відповідь.

Як писала Politeka, iOS виявилась фейком: Apple розлютила мільйони користувачів.

Politeka раніше повідомляла, старі iPhone перетворилися на здобич для хакерів.