Масштабная рекламная кампания распространяла вредоносное ПО Lumma Stealer, предназначенное для кражи данных, через поддельные CAPTCHA-страницы. Пользователей обманывали, предлагая выполнить команды PowerShell для подтверждения, что они не являются ботами.
Для реализации этой схемы использовалась рекламная сеть Monetag, обеспечивавшая более миллиона показов рекламы ежедневно на трёх тысячах веб-сайтов. Исследователи Guardio Labs и Infoblox назвали эту кампанию «DeceptionAds» и связывают её с хакером под псевдонимом «Vane Viper». Данная операция представляет собой усовершенствованную версию атак «ClickFix», в которых жертв обманом заставляют запускать вредоносные команды PowerShell, чтобы заразить свои устройства.
В рамках атак ClickFix злоумышленники применяли фишинговые письма, фальшивые CAPTCHA-страницы на сайтах с пиратским софтом, вредоносные Facebook-страницы и даже эксплойты GitHub. Новая кампания отличается использованием законной рекламной сети для перенаправления ничего не подозревающих пользователей на поддельные страницы CAPTCHA.
Хакеры применяют сеть Monetag для показа всплывающей рекламы с поддельными предложениями и загрузками, привлекательными для аудитории пиратских сайтов. После клика по объявлению специальный код проверяет, является ли пользователь человеком, а затем перенаправляет его через сервис BeMob на поддельную CAPTCHA-страницу. Хотя BeMob легально используется для отслеживания рекламных кампаний, злоумышленники применяют его, чтобы обходить модерацию рекламы.
«Хакеры воспользовались репутацией BeMob, предоставив в Monetag безвредный URL вместо прямой ссылки на вредоносную страницу, что осложнило модерацию», — поясняет Нати Тал из Guardio Labs.
На поддельной CAPTCHA-странице содержится JavaScript-код, который незаметно копирует вредоносную команду PowerShell в буфер обмена пользователя. Далее жертву убеждают вставить эту команду в диалоговое окно Windows Run, чтобы «решить CAPTCHA». Команда загружает Lumma Stealer с удалённого сервера и запускает его на устройстве жертвы.
Lumma Stealer крадёт cookies, пароли, данные банковских карт, историю браузера и криптовалютные кошельки. Программа также может собирать конфиденциальные текстовые и PDF-файлы, отправляя их злоумышленнику для дальнейшего использования или продажи на теневых рынках.
Guardio Labs выявила масштабное злоупотребление Monetag и BeMob. Monetag за восемь дней заблокировала 200 связанных с хакерами аккаунтов, а BeMob прекратила кампанию за четыре дня. Однако 11 декабря была зафиксирована новая волна активности, указывающая на попытки хакеров возобновить деятельность через другую рекламную сеть.
За последний год кампании, направленные на кражу данных, стали глобальной угрозой. Они несут серьёзные риски, включая финансовое мошенничество, утечку данных и атаки программ-вымогателей. Например, в мае злоумышленники использовали украденные данные для взлома аккаунтов SnowFlake, затронувших компании вроде Ticketmaster, AT&T и Advance Auto Parts.
Чтобы избежать заражения, не выполняйте команды, предложенные сайтами, особенно под видом исправлений или CAPTCHA. Использование пиратского контента также повышает риск заражения, так как такие ресурсы часто сотрудничают с менее проверенными рекламными сетями, ориентированными на быструю монетизацию, а не на безопасность пользователей.