Kyberbezpečnostní experti odhalili dosud nezdokumentovaný aspekt útoků ve stylu ClickFix, které využívají jedinou reklamní síťovou službu jako součást kampaně zaměřené na krádež informací prostřednictvím malvertisingu, nazvané DeceptionAds.
„Tato kampaň, zcela závislá na jediné reklamní síti, ukazuje základní mechanismy malvertisingu – doručuje více než milion denních zobrazení reklam za posledních deset dní a způsobuje tisíce denních obětí, které přicházejí o své účty a peníze prostřednictvím sítě více než 3 000 obsahových webů přesměrovávajících provoz,“ uvedl Nati Tal, vedoucí Guardio Labs,
Kampaně, jak je zdokumentovalo několik kyberbezpečnostních společností v posledních měsících, zahrnují přesměrování návštěvníků pirátských filmových webů a dalších na falešné stránky ověřování CAPTCHA, které je instruují ke zkopírování a spuštění Base64-kódovaného příkazu PowerShell, což nakonec vede k nasazení krádežných nástrojů, jako je Lumma.
Útoky již nejsou omezeny na jednoho aktéra, přičemž Proofpoint nedávno uvedl, že několik „neidentifikovaných“ hackerských skupin přijalo tento chytrý přístup k doručování vzdálených přístupových trojanů, krádežných nástrojů a dokonce i post-exploitačních rámců, jako je Brute Ratel C4.
Guardio Labs uvedlo, že se jim podařilo vystopovat původ kampaně k Monetag, platformě, která tvrdí, že nabízí několik reklamních formátů k „monetizaci webů, sociálního provozu, Telegram Mini Apps“, přičemž hackeři také využívají služby jako BeMob pro sledování reklam k maskování svých záměrů. Monetag je také sledován společností Infoblox pod názvy Vane Viper a Omnatuor.
Kampaň se v podstatě redukuje na toto: vlastníci webů se zaregistrují u Monetag, poté je provoz přesměrován na systém distribuce provozu (TDS) provozovaný reklamní sítí malvertisingu, což nakonec přivede návštěvníky na stránku ověřování CAPTCHA.
Zdroj: TheHackerNews
Zdroj: IT SECURITY NETWORK NEWS
