Sieť na výmenu návštevnosti distribuujúca malvér maskovaný ako cracknutý softvér

Zistilo sa, že prebiehajúca kampaň využíva sieť webových stránok fungujúcich ako „kvapkadlo ako služba“ na poskytovanie balíka škodlivého softvéru obetiam, ktoré hľadajú „cracknuté“ verzie populárnych obchodných a spotrebiteľských aplikácií.

“Tento malvér zahŕňal celý rad robotov na podvodné kliknutia, iných zlodejov informácií a dokonca aj ransomvéru,” uviedli vedci z firmy Sophos pre kybernetickú bezpečnosť v správe zverejnenej minulý týždeň.

Útoky fungujú tak, že využívajú množstvo návnadových stránok hostených na WordPress, ktoré obsahujú odkazy na „stiahnutie“ softvérových balíkov, ktoré po kliknutí presmerujú obete na inú webovú stránku, ktorá poskytuje potenciálne nechcené zásuvné moduly prehliadača a malvér, ako napr. inštalátory pre Raccoon Stealer, Stop ransomware, zadné vrátka Glupteba a množstvo škodlivých ťažiarov kryptomien, ktorí sa tvária ako antivírusové riešenia.

“Návštevníci, ktorí prídu na tieto stránky, sú vyzvaní, aby povolili upozornenia; Ak to povolia, webové stránky opakovane vydávajú falošné upozornenia na malvér,” uviedli vedci. „Ak používatelia kliknú na upozornenia, budú presmerovaní cez sériu webových stránok, kým neprídu do cieľa, ktorý je určený operačným systémom návštevníka, typom prehliadača a geografickou polohou.“

Pomocou techník, ako je optimalizácia pre vyhľadávače, sa odkazy na webové stránky zobrazujú v hornej časti výsledkov vyhľadávania, keď jednotlivci hľadajú pirátske verzie širokej škály softvérových aplikácií. Činnosti, ktoré sa považujú za produkt podzemného trhoviska pre platené sťahovacie služby, umožňujú kybernetickým aktérom na základnej úrovni nastaviť a prispôsobiť svoje kampane na základe geografického zacielenia.

Výmeny návštevnosti, ako sa distribučná infraštruktúra tiež nazýva, zvyčajne vyžadujú platbu v bitcoinoch predtým, ako si pridružené spoločnosti môžu vytvoriť účty v službe a začať s distribúciou inštalátorov, pričom stránky ako InstallBest ponúkajú rady o „osvedčených postupoch“, ako napríklad neodporúčanie používať hostiteľov založených na Cloudflare. pre sťahovačov, ako aj pomocou adries URL v rámci CDN Discord, Bitbucket alebo iných cloudových platforiem.

Okrem toho vedci našli aj množstvo služieb, ktoré namiesto toho, aby ponúkali svoje vlastné siete na doručovanie škodlivého softvéru, fungujú ako „sprostredkovatelia“ k zavedeným sieťam s malvérom, ktoré platia vydavateľom webových stránok za návštevnosť. Jedným z takýchto poskytovateľov návštevnosti je InstallUSD, pakistanská reklamná sieť, ktorá bola prepojená s množstvom malvérových kampaní zahŕňajúcich stránky s cracknutým softvérom.

Toto nie je ani zďaleka prvý prípad, keď aktéri hrozieb použili „warez“ webové stránky ako vektor infekcie. Začiatkom júna bol nájdený baník kryptomien Crackonosh, ktorý zneužíva túto metódu na inštaláciu balíčka na ťaženie mincí s názvom XMRig na tajné využívanie zdrojov infikovaného hostiteľa na ťažbu Monero.

O mesiac neskôr boli nájdení útočníci za malvérom s názvom MosaicLoader, ktorí sa zamerali na jednotlivcov, ktorí hľadali cracknutý softvér ako súčasť globálnej kampane na nasadenie plne vybavených zadných vrátok schopných zlapiť napadnutý softvér. Windows systémov do botnetu.