Обнаружен вредоносный рекламный фреймворк, сгенерировавший более 1 млрд объявлений за три месяца

Эксперты Flashpoint выявили крупный фреймворк, паразитирующую на рекламе Google AdSense, скрытых просмотрах стримов Twitch и генерации фальшивых лайков на YouTube. Исследователи пишут, что основными целями злоумышленников являются такие браузеры, как Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на Windows-машинах. Именно они образуют костяк ботнета. Сообщается, что только за последние три месяца через этот фреймворк прошло более 1 млрд рекламных объявлений.

Заражение машины жертвы начинается с использования модуля Installer, который установит и сконфигурирует вредоносное расширение для браузера, а также обеспечит постоянное присутствие в системе, создав запланированную задачу (малварь притворится Windows Update).

Затем другой модуль фреймворка, Finder, начнет собирать в зараженной системе файлы cookie и учетные данные, отправляя их своим операторам в формате ZIP-архивов. Также этот модуль будет поддерживать связь с вторичным управляющим сервером, который передает команды малвари и сообщает, с какой частотой нужно собирать и похищать данные из зараженных систем.

Третий модуль, Patcher, использовался в ранней версии фреймворка для установки вредоносного расширения, но в последних версиях уже был включен в состав модуля Installer.

После успешной компрометации браузера, расширение немедленно приступит к работе, начнет внедрять рекламу на сайты и генерировать скрытый для пользователя трафик (к примеру, будет в фоновом режиме «смотреть» стримы Twitch или лайкать видео на YouTube).

«В основном код фреймворка связан с рекламным мошенничеством и включает в себя скрипты, которые ищут и подменяют связанный с рекламой код на веб-страницах, но также фреймфорк содержит код для отслеживания информации о кликах и передачи других данных на управляющие серверы», — пишут эксперты.

Интересно, что внедрение рекламы происходит не на всех сайтах, которые посещает жертва. Так, малварь имеет обширные «черные списки», в которые входят домены Google, различные российские ресурсы и порно-сайты.

По информации Flashpoint, данная мошенническая кампания в основном сосредоточена на нескольких странах, включая Россию, Украину и Казахстан.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.