Специалисты Microsoft обнаружили крупномасштабную кликфрод-кампанию, нацеленную на геймеров. Группировка, которую эксперты отслеживают под идентификатором DEV-0796, распространяет малварь через комментарии на YouTube и вредоносную рекламу.
Атака начинается с файла ISO, который преступники маскируют под различные хаки и читы для шутера Krunker. Ссылки на такие ISO можно обнаружить в комментариях на YouTube, оставленных под тематическими роликами, или кликнув на вредоносную рекламу.
Если открыть такой файл ISO, он тайно установит на машину жертвы малварь на базе node-webkit (он же NW.js) или мошенническое расширение для браузера. После этого вредонос будет скрыто генерировать клики, которые монетизируют хакеры, а также внесет себя в список запланированных задач (чтобы закрепиться в системе) и буде регулярно связываться со своими управляющими серверами.
Исследователи пишут, что порой в рамках этой кампании вместо файлов ISO используются файлы DMG (которые в основном применяются в macOS), то есть злоумышленники ориентированы на пользователей нескольких операционных систем.
Более детальный технический отчет о таких атаках опубликовали эксперты VMware. Исследователи напоминают, что группа DEV-0796 исторически связана с распространением малвари Chromeloader, которая некогда представляла собой инструмент для кликфрода, но недавно значительно эволюционировала и стала полноценным инфостилером, ворующим данные из браузеров.
В рамках своего исследования специалисты VMware протестировали не менее десяти вариантов Chromeloader, наиболее интересные из которых появились в августе 2022 года и позднее. Так, первым интересным примером стала программа, имитирующая популярную утилиту OpenSubtitles. В другом случае атаки оказались более разрушительными, чем обычно, и использовали Zip-бомбы в качестве полезной нагрузки, то есть перегружали системы жертв гипертрофированной операцией распаковки. В третьем случае Chromeloader и вовсе развертывал в системах пострадавших пейлоад вымогателя Enigma.
Эксперты резюмируют, что Chromeloader — отличный пример того, почему рекламная малварь тоже может представлять большую опасность. Часто такие угрозы начинают свой путь с банального кликфрода, но после злоумышленники начинают экспериментировать с мощными полезными нагрузками, изучая более прибыльные альтернативы рекламному мошенничеству.