- 20,222
- 46
- 8 Ноя 2022
Два месяца Google Ads показывал безопасную рекламу, а потом она стала опасной.
Специалисты Truesec сообщили о масштабной вредоносной кампании, в рамках которой злоумышленники продвигали через Google Ads фальшивое приложение для редактирования PDF-документов под названием AppSuite PDF Editor. За кажущейся легитимностью скрывался инфостилер TamperedChef, способный извлекать конфиденциальную информацию с заражённых устройств.
Анализ показал, что за операцией стоит хорошо организованная группа, использующая сразу несколько приложений, способных загружать друг друга и втягивать системы жертв в схемы с использованием резидентных прокси. Некоторые из этих программ также вводят пользователей в заблуждение, предлагая бесплатно пользоваться функциональностью в обмен на согласие использовать их устройства как часть прокси-сети.
Truesec выявила более 50 доменов, на которых размещались вредоносные сборки, подписанные поддельными цифровыми сертификатами от как минимум четырёх различных компаний, включая ECHO Infini SDN BHD, GLINT By J SDN. BHD и SUMMIT NEXUS Holdings LLC.
Согласно техническому отчёту Truesec, вредоносная активность TamperedChef активировалась не сразу. Сначала приложение вело себя как обычный PDF-редактор, и лишь 21 августа — спустя почти 2 месяца после начала рекламной кампании — получило обновление, запускающее вредоносные функции. Именно тогда в систему пользователя загружалась вредоносная версия с аргументом <code>-fullupdate</code>, активирующим инфостилер.
Заражённое приложение проверяет наличие защитных решений на машине, а затем извлекает данные из браузеров , используя Windows-компонент DPAPI (Data Protection API) — стандартный механизм защиты чувствительной информации. Это позволяет TamperedChef похищать пароли, куки и другие персональные данные, хранящиеся в системах пользователей.
Расследование показало, что злоумышленники использовали как минимум 5 уникальных идентификаторов рекламных кампаний Google Ads, что указывает на широкую географию и целенаправленное распространение. При этом вредоносная активность была активирована ближе к завершению 60-дневного срока действия рекламных объявлений, что может свидетельствовать о стратегии максимизации количества загрузок до включения вредоносной функции.
Программы распространялись через десятки сайтов, рекламировавших AppSuite PDF Editor как бесплатный и удобный инструмент. Среди загружаемых исполняемых файлов были также другие приложения, такие как OneStart и Epibrowser — браузеры, которые ранее классифицировались как потенциально нежелательные программы (PUP), но в данном случае демонстрировали поведение, характерное для полноценного вредоносного ПО .
Параллельно с Truesec расследование провели аналитики из компании Expel. Они подтвердили, что OneStart, AppSuites PDF и ещё один компонент под названием ManualFinder могут выполнять подозрительные команды, загружать вредоносные модули и регистрировать устройства в резидентных прокси-сетях.
В отдельных случаях пользователям отображалось окно, предлагающее бесплатно пользоваться редактором PDF в обмен на разрешение использовать их устройство как часть прокси-инфраструктуры. Исследователи подчёркивают, что провайдер прокси-сети может быть легитимной компанией и не быть напрямую связан с кампанией, а злоумышленники просто выступают в роли аффилиатов, извлекая выгоду за счёт пользователей.
Хотя некоторые из упомянутых программ формально классифицируются как PUP , исследователи подчёркивают, что по своему функционалу они полностью соответствуют критериям вредоносного ПО. Установка таких приложений может привести не только к утечке данных, но и к бесконтрольному использованию систем в схемах проксификации и дальнейшего распространения угроз.
Truesec и Expel опубликовали полные отчёты с большим количеством IoC-идентификаторов , чтобы администраторы и ИБ-специалисты смогли выявить заражённые системы и предотвратить компрометацию инфраструктуры.
Специалисты Truesec сообщили о масштабной вредоносной кампании, в рамках которой злоумышленники продвигали через Google Ads фальшивое приложение для редактирования PDF-документов под названием AppSuite PDF Editor. За кажущейся легитимностью скрывался инфостилер TamperedChef, способный извлекать конфиденциальную информацию с заражённых устройств.
Анализ показал, что за операцией стоит хорошо организованная группа, использующая сразу несколько приложений, способных загружать друг друга и втягивать системы жертв в схемы с использованием резидентных прокси. Некоторые из этих программ также вводят пользователей в заблуждение, предлагая бесплатно пользоваться функциональностью в обмен на согласие использовать их устройства как часть прокси-сети.
Truesec выявила более 50 доменов, на которых размещались вредоносные сборки, подписанные поддельными цифровыми сертификатами от как минимум четырёх различных компаний, включая ECHO Infini SDN BHD, GLINT By J SDN. BHD и SUMMIT NEXUS Holdings LLC.
Согласно техническому отчёту Truesec, вредоносная активность TamperedChef активировалась не сразу. Сначала приложение вело себя как обычный PDF-редактор, и лишь 21 августа — спустя почти 2 месяца после начала рекламной кампании — получило обновление, запускающее вредоносные функции. Именно тогда в систему пользователя загружалась вредоносная версия с аргументом <code>-fullupdate</code>, активирующим инфостилер.
Заражённое приложение проверяет наличие защитных решений на машине, а затем извлекает данные из браузеров , используя Windows-компонент DPAPI (Data Protection API) — стандартный механизм защиты чувствительной информации. Это позволяет TamperedChef похищать пароли, куки и другие персональные данные, хранящиеся в системах пользователей.
Расследование показало, что злоумышленники использовали как минимум 5 уникальных идентификаторов рекламных кампаний Google Ads, что указывает на широкую географию и целенаправленное распространение. При этом вредоносная активность была активирована ближе к завершению 60-дневного срока действия рекламных объявлений, что может свидетельствовать о стратегии максимизации количества загрузок до включения вредоносной функции.
Программы распространялись через десятки сайтов, рекламировавших AppSuite PDF Editor как бесплатный и удобный инструмент. Среди загружаемых исполняемых файлов были также другие приложения, такие как OneStart и Epibrowser — браузеры, которые ранее классифицировались как потенциально нежелательные программы (PUP), но в данном случае демонстрировали поведение, характерное для полноценного вредоносного ПО .
Параллельно с Truesec расследование провели аналитики из компании Expel. Они подтвердили, что OneStart, AppSuites PDF и ещё один компонент под названием ManualFinder могут выполнять подозрительные команды, загружать вредоносные модули и регистрировать устройства в резидентных прокси-сетях.
В отдельных случаях пользователям отображалось окно, предлагающее бесплатно пользоваться редактором PDF в обмен на разрешение использовать их устройство как часть прокси-инфраструктуры. Исследователи подчёркивают, что провайдер прокси-сети может быть легитимной компанией и не быть напрямую связан с кампанией, а злоумышленники просто выступают в роли аффилиатов, извлекая выгоду за счёт пользователей.
Хотя некоторые из упомянутых программ формально классифицируются как PUP , исследователи подчёркивают, что по своему функционалу они полностью соответствуют критериям вредоносного ПО. Установка таких приложений может привести не только к утечке данных, но и к бесконтрольному использованию систем в схемах проксификации и дальнейшего распространения угроз.
Truesec и Expel опубликовали полные отчёты с большим количеством IoC-идентификаторов , чтобы администраторы и ИБ-специалисты смогли выявить заражённые системы и предотвратить компрометацию инфраструктуры.
- Источник новости
- www.securitylab.ru
