Пользователей Apple атакует вредоносная реклама со стеганографией

Рекомендуем почитать:

Xakep #237. Даркнет 2018

• Содержание выпуска
• Подписка на «Хакер»

Специалисты компании Confiant рассказали о хак-группе VeryMal, которая атакует пользователей Apple и использует стеганографию, то есть прячет вредоносный код внутри изображений.

Интересно, что это далеко не первая вредоносная кампания, направленная исключительно на пользователей устройств Apple, и обнаруженная экспертами. Так, в ноябре 2018 года группировка ScamClub атаковала пользователей iOS в США. Вредоносная реклама этой группы вмешалась в работу 300 млн браузерных сессий за 48 часов.

По сравнению с этим, операции VeryMal вряд ли можно назвать масштабными: на счету VeryMal вмешательство «всего» в 5 000 000 сессий за 48 часов. Кампании группы, как правило, длятся всего несколько дней, и первые из них были замечены экспертами еще в августе 2018 года.

Однако масштаб операций – не единственное отличие между этим группировками. VeryMal действуют хитрее и стараются быть как можно незаметнее. В частности, в 2019 году злоумышленники начали использовать стеганографию. В итоге схема атаки выглядит следующим образом:

• в рекламный слот на легитимном сайте загружается изображение, содержащее скрытый вредоносный код;
• в этом же слоте подгружается дополнительный код JavaScript,
• JavaScript проверяет, поддерживаются ли на машине жертвы шрифты Apple, а в случае положительного ответа, читает файл изображение и извлекает из него вредоносный код;
• извлеченный из картинки код выполняется, и он представляющий собой команду, перенаправляющую браузер жертвы на новый URL;
• пострадавшего «перекидывают» по ссылкам до тех пор, пока он не достигнет лендинга с предложением установить фейковое обновление ПО (как правило Adobe Flash Player).

По данным специалистов Malwarebytes, такие фальшивые обновления содержат вредонос Shlayer, который обычно используется для установки адвари на зараженные устройства.

Источник