- Исследователи безопасности обнаружили кампанию по распространению вредоносного ПО Lumma Stealer
- Поддельная страница CAPTCHA содержит JavaScript, который копирует вредоносный код в буфер обмена.
- Чтобы «разгадать» фальшивую капчу, пользователям предлагается вставить код в CMD и запустить его.
Поддельные страницы CAPTCHA используются для того, чтобы обманом заставить жертв загрузить и запустить вредоносное ПО Lumma Infostealer.
Исследователи безопасности из Guardio Labs недавно обнаружили крупную вредоносную операцию, нацеленную на миллионы людей, под названием DeceptionAds.
Кампания злоупотребляет двумя законными сервисами: рекламной сетью Monetag и BeMob, облачной платформой отслеживания эффективности. Все начинается с фейковой рекламы, продвигающей вещи, которые нравятся аудитории хост-сайта, например, фейковые предложения, загрузки или другие услуги, при этом пиратские потоковые передачи и программные платформы оказываются одними из наиболее распространенных тем.
обычная гадюка
Когда жертва нажимает на объявление, она перенаправляется на поддельную страницу CAPTCHA с помощью службы маскировки BeMob. Это затрудняет модерацию, поскольку BeMob является законным сервисом и поэтому по умолчанию не удаляется из рекламной сети Monetag.
«Предоставив безобидный URL-адрес BeMob системе управления рекламой Monetag вместо прямой поддельной страницы с кодом проверки, злоумышленники воспользовались репутацией BeMob и усложнили усилия Monetag по модерации контента», — заявил в статье Нати Тал, глава Guardio Labs.
Страница CAPTCHA содержит код JavaScript, который копирует вредоносную однострочную команду PowerShell в буфер обмена. Однако жертве все равно необходимо вставить этот код в CMD и запустить его, и именно здесь в игру вступает «решение» CAPTCHA. Чтобы решить CAPTCHA, пользователям необходимо войти в диалоговое окно «Выполнить» Windows, нажать CTRL+V (Вставить) и нажать Enter.
Это запустит команду, которая загрузит и запустит Lumma Stealer. Группу, стоящую за нападением, зовут Vane Viper.
Ламма — популярный в подпольном сообществе инфокрадщик. Он способен украсть широкий спектр конфиденциальной информации, включая криптовалютные кошельки, данные браузера, учетные данные электронной почты, финансовую информацию, данные FTP-клиента и системную информацию.
Когда Monetag и BeMob были проинформированы о кампании, обе компании вмешались, чтобы решить проблему. Monetag удалила 200 аккаунтов, а BeMob завершила кампанию в течение четырех дней.
Над ПипКомпьютер
Вам также может понравиться это
