Специалисты  компании Confiant рассказали о хак-группе VeryMal, которая атакует пользователей Apple и использует стеганографию, то есть прячет вредоносный код внутри изображений.

Интересно, что это далеко не первая вредоносная кампания, направленная исключительно на пользователей устройств Apple, и обнаруженная экспертами. Так, в ноябре 2018 года группировка ScamClub атаковала пользователей iOS в США. Вредоносная реклама этой группы вмешалась в работу 300 млн браузерных сессий за 48 часов.

По сравнению с этим, операции VeryMal вряд ли можно назвать масштабными: на счету VeryMal вмешательство «всего» в  5 000 000 сессий за 48 часов. Кампании группы, как правило, длятся всего несколько дней, и первые из них были замечены экспертами еще в августе 2018 года.

Однако масштаб операций – не единственное отличие между этим группировками. VeryMal действуют хитрее и стараются быть как можно незаметнее. В частности, в 2019 году злоумышленники начали использовать стеганографию. В итоге схема атаки выглядит следующим образом:

  • в рекламный слот на легитимном сайте загружается изображение, содержащее скрытый вредоносный код;
  • в этом же слоте подгружается дополнительный код JavaScript,
  • JavaScript проверяет, поддерживаются ли на машине жертвы шрифты Apple, а в случае положительного ответа, читает файл изображение и извлекает из него вредоносный код;
  • извлеченный из картинки код выполняется, и он представляющий собой команду, перенаправляющую браузер жертвы на новый URL;
  • пострадавшего «перекидывают» по ссылкам до тех пор, пока он не достигнет лендинга с предложением установить фейковое обновление ПО (как правило  Adobe Flash Player).

По данным специалистов Malwarebytes, такие фальшивые обновления содержат вредонос Shlayer, который обычно используется для установки адвари на зараженные устройства.

Оставить мнение