Пользователи iPhone и iPad против своей воли зарабатывают деньги для рекламных мошенников
Код, спрятанный в графических баннерах, перенаправлял пользователей на фейковые ресурсы, откуда им предлагалось скачивать вредоносное ПО под видом обновлений для Flash.
Невинные картинки и невинный скрипт
Неизвестные злоумышленники воспользовались стеганографией — методом скрытой передачи данных, спрятанных в изображениях — для того, чтобы распространять вредоносный код среди пользователей компьютеров Apple Mac и устройств под iOS. С помощью этого кода производились массивные рекламные накрутки.
Эксперты компаний Confiant и Malwarebytes опубликовали исследование вредоносной рекламной кампании VeryMal, пики активности которой были отмечены в декабре 2018 г. и январе 2019 г.
Ее организаторы применили довольно нестандартный алгоритм для обхода средств безопасности и распространения вредоносного ПО: в графическую составляющую рекламных баннеров — в картинку — был интегрирован код, за считывание и запуск которого отвечал с виду невинный JavaScript. Антивирусные средства игнорировали и изображение, и этот скрипт, так что он свободно считывал символы из пикселей, выстраивал их в строчки кода и запускал этот код в браузере. Для этого никаких уязвимостей эксплуатировать не потребовалось.
Запущенный код перенаправлял пользователей на некие сомнительные ресурсы, откуда им предлагалось скачать поддельные обновления AdobeFlash и других программных пакетов. Эти фальшивые обновления, если пользователь устанавливал их, начинали производить интенсивную рекламную накрутку, имитируя переходы по баннерам недобросовестных рекламодателей и обеспечивая им тем самым существенные прибыли.
Интересно, что код запускался только в том случае, если в системе поддерживались шрифты Apple. По каким-то причинам злоумышленники решили ограничиваться только пользователями продукции этой компании. Впрочем, аналогичные атаки ранее производились и на пользователей Windows.
Спекулятивная оценка
Между 11 и 13 января 2019 г. операторы VeryMal вели активную работу на двух биржах сетевой рекламы, которыми регулярно пользуются многие крупнейшие издатели в США.
По оценкам экспертов, вредоносную рекламу могли видеть до пяти миллионов человек, а накрутки могли обойтись отрасли в $1,2 млн в сутки. Впрочем, это спекулятивная оценка: в то время как мошенники действительно получили деньги, которые им не полагались, исследователи также предложили учитывать вероятный рост количества блокировщиков рекламы у рядовых пользователей, а также возможные репутационные потери для рекламных площадок.