Начиная со среды, 28 марта 2017 года, пользователи Skype начали жаловаться на появление странной рекламы. Так, на Reddit обратили внимание, что на домашнем экране приложения (именно его пользователь видит первым делом, запустив программу) отображается баннер, продвигающий фальшивое, якобы критическое обновление для Adobe Flash Player. Если кликнуть на эту рекламу, загрузится с виду легитимное HTML-приложение, которое на самом деле скачает вредоносный пейлоад. В результате машина пользователя окажется заражена малварью.
Wow not bad, got this in @Skype today, even had the download popup! pic.twitter.com/wyQXavBINm
— caseyfoster (@caseylynnfoster) March 30, 2017
when skype gives you a flash player virus popup pic.twitter.com/HMyuuwmfaE
— ELECTRIIC (@ElectriicDev) March 30, 2017
Понимая, что за приложением скрывается малварь, пользователи Reddit решили изучить его код. В итоге пользователи и эксперты пришли к выводу, что фальшивый Flash атакует компьютеры под управлением Windows. Запуск приложения спровоцирует работу обфусцированного JavaScript. Через консоль будет удалено только что открытое приложение, а затем запустится PowerShell-команда, загружающая JSE-файл с уже несуществующего домена.
Хотя саму малварь «поймать» и проанализировать не удалось, эксперты говорят, что, скорее всего, Skype использовался для распространения шифровальщика. Дело в том, что атака в целом очень похожа на схемы распространения вымогателя Locky, который в начале 2017 года объединился с click-fraud вредоносом Kovter.
Неизвестно, сколько всего доменов задействовали злоумышленники для этой операции, но, похоже, они используют DGA (Domain Generation Algorithm) и быстро регистрируют домены, а потом так же быстро от них отказываются.
Комментариев от компании Microsoft пока не поступало, но это далеко не первый случай, когда пользователей Skype атакует вредоносная реклама. Специалисты неоднократно фиксировали похожие инциденты (в 2014, 2015 и 2016 годах).
