Код, спрятанный в графических баннерах, перенаправлял пользователей на фейковые ресурсы, откуда им предлагалось скачивать вредоносное ПО под видом обновлений для Flash.

Невинные картинки и невинный скрипт

Неизвестные злоумышленники воспользовались стеганографией — методом скрытой передачи данных, спрятанных в изображениях — для того, чтобы распространять вредоносный код среди пользователей компьютеров Apple Mac и устройств под iOS. С помощью этого кода производились массивные рекламные накрутки.

Эксперты компаний Confiant и Malwarebytes опубликовали исследование вредоносной рекламной кампании VeryMal, пики активности которой были отмечены в декабре 2018 г. и январе 2019 г.

Ее организаторы применили довольно нестандартный алгоритм для обхода средств безопасности и распространения вредоносного ПО: в графическую составляющую рекламных баннеров — в картинку — был интегрирован код, за считывание и запуск которого отвечал с виду невинный JavaScript. Антивирусные средства игнорировали и изображение, и этот скрипт, так что он свободно считывал символы из пикселей, выстраивал их в строчки кода и запускал этот код в браузере. Для этого никаких уязвимостей эксплуатировать не потребовалось.

Запущенный код перенаправлял пользователей на некие сомнительные ресурсы, откуда им предлагалось скачать поддельные обновления AdobeFlash и других программных пакетов. Эти фальшивые обновления, если пользователь устанавливал их, начинали производить интенсивную рекламную накрутку, имитируя переходы по баннерам недобросовестных рекламодателей и обеспечивая им тем самым существенные прибыли.

Интересно, что код запускался только в том случае, если в системе поддерживались шрифты Apple. По каким-то причинам злоумышленники решили ограничиваться только пользователями продукции этой компании. Впрочем, аналогичные атаки ранее производились и на пользователей Windows.

Спекулятивная оценка

Между 11 и 13 января 2019 г. операторы VeryMal вели активную работу на двух биржах сетевой рекламы, которыми регулярно пользуются многие крупнейшие издатели в США.

По оценкам экспертов, вредоносную рекламу могли видеть до пяти миллионов человек, а накрутки могли обойтись отрасли в $1,2 млн в сутки. Впрочем, это спекулятивная оценка: в то время как мошенники действительно получили деньги, которые им не полагались, исследователи также предложили учитывать вероятный рост количества блокировщиков рекламы у рядовых пользователей, а также возможные репутационные потери для рекламных площадок.

Мнение эксперта

«Стеганография — по-прежнему хорошо работающий способ прятать код, и в данном случае злоумышленники очень умно подошли к делу, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Как показывает опыт, зачастую все фильтры безопасности оказываются по-прежнему бессильны перед вредоносной комбинацией безвредных компонентов. С другой стороны, в конечном счете атака все равно не состоится без участия пользователя, который устанавливает себе “обновление” непонятно откуда. А следовательно достаточно простой внимательности, чтобы сделать атаку неэффективной».