Начиная со среды, 28 марта 2017 года, пользователи Skype начали жаловаться на появление странной рекламы. Так, на Reddit обратили внимание, что на домашнем экране приложения (именно его пользователь видит первым делом, запустив программу) отображается баннер, продвигающий фальшивое, якобы критическое обновление для Adobe Flash Player. Если кликнуть на эту рекламу, загрузится с виду легитимное HTML-приложение, которое на самом деле скачает вредоносный пейлоад. В результате машина пользователя окажется заражена малварью.

Понимая, что за приложением скрывается малварь, пользователи Reddit решили изучить его код. В итоге пользователи и эксперты пришли к выводу, что фальшивый Flash атакует компьютеры под управлением Windows. Запуск приложения спровоцирует работу обфусцированного JavaScript. Через консоль будет удалено только что открытое приложение, а затем запустится PowerShell-команда, загружающая JSE-файл с уже несуществующего домена.

Хотя саму малварь «поймать» и проанализировать не удалось, эксперты говорят, что, скорее всего, Skype использовался для распространения шифровальщика. Дело в том, что атака в целом очень похожа на схемы распространения вымогателя Locky, который в начале 2017 года объединился с click-fraud вредоносом Kovter.

Неизвестно, сколько всего доменов задействовали злоумышленники для этой операции, но, похоже, они используют DGA (Domain Generation Algorithm) и быстро регистрируют домены, а потом так же быстро от них отказываются.

Комментариев от компании Microsoft пока не поступало, но это далеко не первый случай, когда пользователей Skype атакует вредоносная реклама. Специалисты неоднократно фиксировали похожие инциденты (в 2014, 2015 и 2016 годах).



2 комментария

  1. dydar

    04.04.2017 at 14:29

    Skype потихоньку умирает . . .

  2. wersewarter

    04.04.2017 at 23:46

    вообщем ничего нового *смех человека который юзает Discord*

Оставить мнение