24/10/23
Схема вполне понятная: сначала в поисковике размещаются поддельные объявления, которые система показывает пользователям, ищущим популярные программы типа Notepad++ или PDF-конвертеров. Этот метод также называется «мальвертайзингом», согласно Securitylab.
Когда человек кликает на объявление, он перенаправляется на фишинговый сайт, который тщательно анализирует IP-адрес посетителя и его параметры, чтобы отсеять ботов и нецелевых пользователей (их сразу же «перебрасывает» на настоящий сайт Notepad++).
Если человек представляет интерес, программа тихо собирает цифровые отпечатки системы, проверяя — не запущена ли она в виртуальной машине. Затем жертве присваивается уникальный идентификатор для дальнейшего отслеживания.
«Злоумышленники используют методы, которые позволяют обойти верификацию объявлений и нацелиться на определенные категории жертв», — комментирует Жером Сегура, директор по угрозам и разведке.
При переходе на следующую страницу на компьютер скачивается исполняемый файл.HTA, который устанавливает скрытое SSL-соединение с удалённым сервером злоумышленников по нестандартному порту 12345. Это позволяет загрузить в систему вредоносную программу, например, бэкдор или шпионское ПО.
По словам экспертов Malwarebytes, уникальность этой тактики — в способе сбора отпечатков и распространения время-зависимых вредоносных нагрузок.
Аналогичным образом другая группа хакеров атакует пользователей менеджера паролей KeePass. Здесь применяется техника визуального обмана с помощью Punycode — злоумышленники регистрируют похожий домен, используя незаметные символы.
Например, вместо keepass.info в ссылку вставляется kееpass.info. Внешне сайты выглядят идентично, но на самом деле адреса у них разные — из-за одной маленькой точки в конце. На компьютер ни о чем не подозревающего пользователя после пары кликов скачивается зловредное ПО типа FakeBat.
Ещё один распространённый метод — подделка уведомлений браузера о том, что систему необходимо обновить. Хакерские группы TA569 и RogueRaticate используют эту уловку, чтобы незаметно запустить программы вроде Cobalt Strike на целевом устройстве.
Эксперты отмечают, что такие атаки представляют реальную опасность из-за постоянного совершенствования методов социальной инженерии и продвинутого визуального обмана.
Также исследователи выделяют группу EtherHiding, которая проводит целевые атаки через поддельные браузерные уведомления. Особенность в том, что они используют уникальные тексты уведомлений для каждой отдельной жертвы, что повышает эффективность операции. Этими же уловками примечательны TA569, RogueRaticate, ZPHP, ClearFake
Чтобы обезопасить себя, эксперты рекомендуют внимательно проверять адреса сайтов в поисковой выдаче, не устанавливать программы и расширения не с официального сайта и использовать антивирусное ПО для проверки любых загружаемых файлов на наличие вредоносного кода.
