Специалисты компании Confiant обнаружили группировку ScamClub, атаковавшую пользователей iOS в США. Вредоносная реклама вмешалась в работу 300 млн браузерных сессий за 48 часов.
Исследователи заметили подозрительную активность 12 ноября текущего года, когда их телеметрия показала неожиданный скачок активности. Как оказалось, ScamClub внедрила свой вредоносный код в рекламу на множестве легитимных сайтов, и через длинную цепочку редиректов пользователей перенаправляли на фишинговый сайт взрослой тематики и мошеннический ресурс с подарочными картами. Название хак-группы образовано от имен доменов этих сайтов: hipstarclub[.]com и luckstarclub[.]com.
Начав изучать странный скачок активности, эксперты обнаружили, что группировка активна с августа 2018 года. Дело в том, что ранее действия ScamClub были не столь масштабны и заметны: злоумышленники использовали для атак небольшие рекламные сети, и их кампания не затрагивала большие и известные сайты. В ноябре же хакерам удалось получить доступ к неназванной крупной рекламной бирже, после чего вредоносная реклама вмешалась в работу 300 млн браузерных сессий за 48 часов. Исследователи рассказывают, что пострадали 57% клиентов Confiant.
По данным Confiant, вредоносная реклама имитировала различные существующие приложения для Android и была нацелена на пользователей iOS из США (среди пострадавших 99,5% находились в США и 96% пользовались устройствами Apple). Очевидно, пользователи iOS являются основой целью ScamClub в силу того, что на мобильных устройствах в целом гораздо реже установлены блокировщики рекламы.
Масштабная вредоносная кампания была прекращена уже 13 ноября, когда биржа обнаружила происходящее и удалила опасные объявления. Тем не менее, группа ScamClub продолжает существовать и по-прежнему активна. В настоящее время исследователи фиксируют порядка 300 000 попыток атак в день, то есть хакеры вновь вернулись к использованию небольших рекламных сетей.
Специалисты Confiant сравнивают активность ScamClub с другой масштабной кампанией по распространению вредоносной рекламы. Напомню, что в начале 2018 года была обнаружена группировка Zirconium, создавшая 28 фальшивых рекламных агентств и постепенно сумевшая установить отношения с крупнейшими рекламными платформами, заработав при этом хорошую репутацию. При этом в 2017 году Zirconium была ответственна примерно за миллиард размещений вредоносной рекламы, тогда как ScamClub достигла еще более внушительного результата: 300 млн всего за двое суток.
Также исследователи удивляются тому, что упомянутые выше домены группы, hipstarclub[.]com и luckstarclub[.]com, на которые в итоге попадали атакованные пользователи, долгое время оставались никем незамеченными. По словам специалистов, на добавление этих доменов в Google Safe Browsing ушли долгие недели. И согласно VirusTotal, даже сейчас не все поставщики защитных решений видят в сайтах ScamClub угрозу.
Исследователи считают, что всё дело в том, что вредоносный код, который ScamClub скрывает в рекламных объявлениях, хорошо уклоняется от анализа, обнаруживает, если был запущен в виртуальной среде, и в таких ситуациях ведет себя совсем не так, как на реальном устройстве. Фактически, вредоносная реклама не делает в таких случаях ничего вредоносного, не приводит в действие редиректы, и в итоге ускользает от внимания исследователей.