Похоже, что в последнее время вредоносная реклама переживает ренессанс, будь то реклама на страницах результатов поисковых систем или на популярных веб-сайтах. Malwarebytes сообщает о кампании, использующей вредоносную рекламу для перенаправления пользователей на то, что выглядит как обновление безопасности Windows. Схема очень хорошо разработана, так как она полагается на веб-браузер для отображения полноэкранной анимации.
Поддельное обновление безопасности использует недавно выявленный загрузчик, который на момент проведения кампании не был обнаружен песочницами вредоносных программ и обходил практически все антивирусные системы. Malwarebytes идентифицировал полезную нагрузку как Aurora Stealer.
Indicators of Compromise
IPv4
- 194.58.112.173
- 92.53.96.119
IPv4 Port Combinations
- 103.195.103.54:443
- 94.142.138.218:4561
Domains
- 04042023.ru
- activedebian.ru
- activehdd.ru
- activessd.ru
- activessd6.ru
- chistauyavoda.ru
- click7adilla.ru
- clickaineasdfer.ru
- evatds.ru
- grhfgetraeg6yrt.site
- moskovpizda.ru
- oled8kultra.ru
- oled8kultra.site
- pochelvpizdy.ru
- qqtube.ru
- shluhapizdec.ru
- xhamster-18.ru
- xxxxxxxxxxxxxxx.ru
URLs
- http://193.233.20.29/games/category/Login.php
SHA256
- 193cec31ea298103fe55164ff6270a2adf70248b3a4d05127414d6981f72cef4
- 31c425510fe7f353002b7eb9d101408dde0065b160b089095a2178d1904f3434
- 398faa3aab8cce7a12e3e3f698bc29514c5b10a4369cc386421913e31f95cfdc
- 40b8acc3560ac0e1825755b3b05ef01c46bdbd184f35a15d0dc84ab44fa99061
- 4c80bd604ae430864c507d723c6a8c66f4f5e9ba246983c833870d05219bd3e5
- 5a07e02aec263f0c3e3a958f2b3c3d65a55240e5da30bbe77c60dba49d953b2c
- 93b9199ca9e1ee0afbe7cf6acccedd39f37f2dd603a3b1ea05084ab29ff79df7
- d29f4ffcc9e2164800dcf5605668bdd4298bcd6e75b58bed9c42196b4225d590
- dac1bd40799564288bf55874543196c4ef6265d89e3228864be4d475258b9062