Исследователи MalwareBytes обнаружили вредоносную рекламную кампанию, ведущую к поддельному обновлению Firefox. Шаблон сильно вдохновлен похожими схемами и, в частности, той, которую распространяют FakeUpdates (SocGholish).
Однако распространение и реализация сильно отличаются. В отличие от FakeUpdates, который использует взломанные веб-сайты для распространения своего шаблона, этот шаблон распространяется с помощью вредоносной рекламы.
Сам шаблон намного более упрощен и, похоже, разрабатывается с помощью поддельного обновления Firefox, которое содержит пару скриптов, извлекающих зашифрованную полезную нагрузку. Начальный исполняемый файл состоит из загрузчика, который извлекает часть рекламного ПО, обнаруженного как BrowserAssistant. Инфраструктура malvertising по сути та же самая, которая использовалась в многочисленных кампаниях drive-by с наборами эксплойтов с конца 2019 года. По какой-то причине субъекты угроз повторно используют одни и те же серверы в России и называют свои malvertising gate в честь различных рекламных сетей.
Indicators of Compromise
IPv4
- 185.215.113.121
- 185.220.33.3
- 185.220.35.26
- 185.230.140.210
- 188.227.107.121
- 188.227.107.92
Domains
- adcashtds2.xyz
- adcashtdssystem.site
- adsinside.xyz
- adsterramagic.me
- adstexx.xyz
- allmagnew.xyz
- alltomag.xyz
- an-era.shop
- ankgomag.xyz
- anklexit.online
- ankltrafficexit.xyz
- ankmagicgo.xyz
- blackexit.xyz
- ccgmaining.life
- ccgmaining.live
- ccgmaining.work
- clickadusweep.vip
- clickadusweeps.vip
- clickadutds.xyz
- clicksdeliveryserver.space
- clicktds2.xyz
- cryptomoneyinside.xyz
- cryptomoneyinsider.biz
- cryptomoneyinsider.link
- cryptomoneyinsider.site
- cryptomoneyinsider.work
- cryptomoneyinsiders.com
- cryptomoneyinsiders.site
- cryptomoneyinsiders.work
- cryptomoneytds.xyz
- cryptopaycard.shop
- cryptosuite.pro
- cryptosuitetds.com
- cryptotraffic.vip
- cryptotraffictds.online
- cryptotraffictdss.xyz
- cryptozerotds.xyz
- daiichisankyo-hc.live
- earncryptomoney.info
- exitmagall.xyz
- extradeliverytraffic.com
- extramoneymaker.vip
- familylabs.xyz
- fujimi.fun
- gettime.xyz
- hilldeliveryexit.xyz
- hillex.xyz
- hilllandings.xyz
- hillmag.xyz
- hillmagnew.xyz
- hilltopmagic.xyz
- hilltoptds.xyz
- hilltoptdsserver.xyz
- hilltoptdsservers.fun
- hilltoptrafficdelivery.com
- hilltoptrafficdelivery.xyz
- jillstuart-floranotisjillstu.art
- keitarotrafficdelivery.com
- keitarotrafficdelivery.xyz
- k-to-kd.me
- lahsahal.site
- magcheckall.me
- magicadss.xyz
- magicadsterra.xyz
- magicclickadu.xyz
- magickhill.xyz
- magickpeoplenew.xyz
- magicpopcash.xyz
- magicpropeller.xyz
- magicself.xyz
- magiczero.xyz
- makemoneyeazzywith.me
- makemoneynowwith.me
- makemoneywith.us
- makemoneywithus.work
- mizuno.casa
- money365.xyz
- myallexit.xyz
- myjobsy.com
- nawa-store.com
- newallfrommag.xyz
- newzamenaadc.xyz
- newzamenaclick.xyz
- newzamenaself.xyz
- newzamenazero.xyz
- nippon-mask.site
- northfarmstock.xyz
- offers.myjobsy.com
- offersstudioex.live
- openphoto.xyz
- partners.usemoney.xyz
- prelandingpages.xyz
- promodigital.me
- propellermagic.xyz
- sberbank.hourscareer.com
- sberjob.hourscareer.com
- selfadtracker1.online
- selfadtrackerexit.xyz
- selftraffictds.xyz
- selfyourads.xyz
- shop.mizuno.casa
- supersports.fun
- surprise.yousweeps.vip
- tracker.usemoney.xyz
- traffic.selfadtracker1.online
- traffic.usemoney.xyz
- trafficdeliveryclick.xyz
- trafficdeliveryoffers.com
- trafficdeliverysystem.world
- traffictrackerself.xyz
- tryphoto.xyz
- trytime.xyz
- usehouse.xyz
- usemoney.life
- usemoney.xyz
- ymalljp.com
- yousweeps.vip
- zamenaad.xyz
- zamenaclick.xyz
- zamenahil.xyz
- zamenazer.xyz
- zapasnoiadc.xyz
- zapasnoiclick.xyz
- zapasnoiself.xyz
- zapasnoizero.xyz
- zermag.xyz
- zernewmagcheck.xyz
- zerocryptocard.shop
- zeroexit.xyz
- zerok2exit.xyz
- zeroparktraffic.xyz
- zeroparktrakeroutside.shop
- zerotdspark.space
- zerotracker.shop
SHA256
- 82dd6739ed808fd3231910c3aebf3ab9001c033cb7d28112174d5a19ab55a51f