Новости Хакеры удивляют: вредоносный код «озолотил» своих создателей

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

Мошенническая кампания Vastflux продемонстрировала, как изобретательны могут быть злоумышленники.​


ed7ifhx9iqimfpnvuuhzsl7qigzg9c75.jpg


Масштабная мошенническая кампания, получившая название «Vastflux», недавно была полностью остановлена исследователями безопасности из подразделения Satori, компании Для просмотра ссылки Войди или Зарегистрируйся . В рамках кампании киберпреступники подделали более 1700 приложений от 120 издателей, в основном для iOS.

Данному способу мошенничества дали название «Vastflux» из-за используемого шаблона показа видеорекламы «VAST» и метода уклонения «fast flux», необходимого для сокрытия вредоносного кода путем быстрого изменения большого количества IP-адресов и записей DNS, связанных с одним доменом.

Согласно отчету HUMAN, Vastflux генерировал более 12 миллиардов запросов в день на пике своего распространения и затронул около 11 миллионов устройств, многие из которых находятся в экосистеме Apple iOS.

Подробнее о Vastflux

Исследовательская группа Satori обнаружила Vastflux при расследовании новой схемы мошенничества с рекламой. Они заметили, что приложение генерирует необычно большое количество запросов, используя разные идентификаторы.

Исследователи выполнили Для просмотра ссылки Войди или Зарегистрируйся запутанного кода (см. термин Для просмотра ссылки Войди или Зарегистрируйся ) JavaScript, который работал в приложении, и обнаружили IP-адрес сервера управления и контроля (C2), с которым оно взаимодействовало, а также отправляемые им команды для создания рекламы.

В HUMAN заявили, что в результате мошеннической кампании злоумышленники внедряли вредоносный JavaScript-код в рекламные объявления, а затем «наслаивали» видеопроигрыватели с рекламой друг на друга. Да таким образом, что ни один из них не был виден пользователю — все они отображались за активным окном. Однако с каждого запущенного видео изобретательным кибербандитам шла монетизация. «Наслоить» таким образом у них получалось до 25 видеопроигрывателей одновременно. Можно сказать наверняка, что заработать хакеры на этом предприятии успели прилично.


ip8ojrl9z9kunnjkpiahpas05m7p7tpk.png


Рендеринг нескольких невидимых видеообъявлений Остановка деятельности Vastflux

HUMAN составила подробную карту инфраструктуры Vastflux и запустила три волны целевых действий в период с июня по июль 2022 года. В конце концов, Vastflux на некоторое время отключил свои серверы C2 и сократил свои операции, а 6 декабря рекламные операции остановились полностью.


k5dsjs7fzmjnp3bbycoydh4qrv3rr8gv.png


Хронология остановки деятельности Vastflux Хотя мошенничество с рекламой не оказывает злонамеренного воздействия на пользователей приложений, оно вызывает снижение производительности устройств, увеличивает расход заряда батареи и интернет-трафика, а также может привести к перегреву устройства.

Вышеперечисленные симптомы являются распространенными признаками заражения вредоносным ПО или мошенничества с рекламой на устройстве. При обнаружении чего-то подобного на своём смартфоне, стоит попытаться определить приложение, которое потребляет большую часть ресурсов, и навсегда избавиться от него.

Видеореклама потребляет гораздо больше энергии, чем статическая реклама, а несколько скрытых видеоплееров — тем более. Поэтому очень важно всегда следить за запущенными процессами и вовремя выявлять признаки вредоносных программ.
 
Источник новости
www.securitylab.ru

Похожие темы