Компания Guardio Labs провела исследование масштабной кампании, основанной на фальшивой капче, которая распространяет вредоносное ПО Lumma info-stealer.
Lumma Stealer
Эта кампания, полностью зависящая от одной рекламной сети, каждый день выдает свыше 1 миллиона показов рекламы и заставляет тысячи пользователей потерять свои счета и деньги через сеть из 3 000+ контент-сайтов. Исследование анализирует инфраструктуру, тактику и ключевых игроков мире вредоносной рекламы.
Чтобы проследить источники кампании, Guardio Labs проанализировала цепочки редиректов, обфусцированные скрипты и системы распределения трафика. Это привело к обнаружению Monetag, которая является частью сети ProepllerAds. Злоумышленники использовали сервисы, такие как BeMob ad-tracking, для замаскировки своих вредоносных действий, что показывает фрагментарность ответственности в рекламной экосистеме.
Кампания по распространению Lumma info-stealer использует хитрый прием с использованием фальшивой капчи. При посещении сайта пользователи видят кажущуюся легитимной страницу с капчей, которая требует нажатий на клавиши и, в конечном итоге, выполняет команду PowerShell, устанавливающую вредоносное ПО. Целью этого вредоносного ПО являются социальные аккаунты, банковские реквизиты, пароли и личные файлы.
Ответственность за распространение вредоносной рекламы лежит на рекламных сетях, которые связывают рекламодателей и издателей сайтов. Рекламные сети занимаются кодированием, аналитикой и управлением, необходимыми для обеих сторон. Однако рекламные сети также стали каналом для вредоносной деятельности, от поддельных сайтов до обманчивых кнопок "Загрузить".
Рекламные сети представляют собой сложные экосистемы, которые распределяют трафик от рекламодателей к интернет-пользователям через сотни тысяч сайтов. Однако, если злоумышленники начинают использовать эти сети для своих целей, мы сталкиваемся с вредоносной рекламой. Многие рекламные сети осознают проблему и призывают к более ответственному подходу к контенту, который они распространяют.
Indicators of Compromise
Domains
- 9animetv.to
- 9minecraft.net
- alphatron.tv
- aniwatch.to
- aniwatchtv.to
- arcivevaxue34.b-cdn.net
- asuracomic.net
- bato.to
- bot-check-v1.b-cdn.net
- bot-check-v2.b-cdn.net
- cdn-downloads-now.xyz
- chapmanganato.to
- chromeupdates.com
- cinego.tv
- coinpriceline.com
- dopebox.to
- dramacool.bg
- e123movieswatch.com
- filecrypt.co
- flixhq.to
- freek.to
- gomovies.sx
- gostream.to
- hdtodayz.to
- hianime.to
- hurawatch.cc
- hydrahd.cc
- kaido.to
- kisskh.co
- mangabuddy.com
- mangafire.to
- mangakakalot.com
- mangaread.org
- mangareader.to
- manhuaus.com
- manhwaclan.com
- megadb.net
- mixdrop.ps
- movies2watch.tv
- moviesjoy.is
- myflixerz.to
- ouo.io
- readcomiconline.li
- sflix.to
- sportshub.stream
- steamrip.com
- streameast.best
- theflixertv.to
- totalsportek.best
- totalsportek.games
- travelmiso.com
- tubemp4.is
- vipbox.lc
- y2mate.com
- y2meta.tube
- z-lib.io
URLs
- ajmaboxanherulv1.b-cdn.net/JSKADull.html
- ajmaboxanherulv2.b-cdn.net/JSKADull.html
- anti-automation-v2.b-cdn.net/verf-v2.html
- anti-automation-v3.b-cdn.net/verf-v3.html
- anti-automation-v4.b-cdn.net/verf-v3.html
- anti-automation-v5.b-cdn.net/verf-v5.html
- anti-automation-v6.b-cdn.net/Recap-v6.html
- bmy7etxgksxo.objectstorage.ca-toronto-1.oci.customer-oci.com/n/bmy7etxgksxo/b/...
- bmy7etxgksxo.objectstorage.sa-santiago-1.oci.customer-oci.com/n/bmy7etxgksxo/b/
- botcheck-encrypted-system.b-cdn.net/recaptcha-verification.html
- bot-systemexplorer.b-cdn.net/recaptcha-v4-protocol-nov23.html
- check-cf-ver1.b-cdn.net/version3/cf-check.html
- check-in-cf.b-cdn.net/verify/cf-check.html
- cloud-checked.com/cf/verify/{dddddd}/check
- dedicloadpgeing.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv10.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv11.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv12.b-cdn.net/final-step-to-continue.html
- dedicloadpgeingv2.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv4.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv5.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv6.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv7.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv8.b-cdn.net/dedicated-captcha-page.html
- dedicloadpgeingv9.b-cdn.net/dedicated-captcha-page.html
- encryption-code-verification.b-cdn.net/recaptcha-verification.html
- encryption-code-verification.b-cdn.net/verify-human-recaptcha.html
- encryption-module-botverify.b-cdn.net/recaptcha-verification.html
- fiare-activity.com/cf/verify/{dddddd}/check
- file-typ-botcheck.b-cdn.net/prove-human-recaptcha.html
- file-typ-botcheck-v1.b-cdn.net/prove-human-recaptcha.html
- fingerboarding.com/cha
- foodrailway.cfd/tracker/index.php
- full-fast-movie-downloader.b-cdn.net/KH6kjsdNVk4sUIEW4klsw43ep8piJHOl.html
- https://addonclicks.com/go/aa22d074-412b-41b9-ba13-7dcf967019d9
- https://addonclicks.com/go/b37e8c6f-ddee-4501-8a45-c5a466afee72
- https://adstrails.com/go/3a2f0420-aa82-403a-a04e-4df13708bc04
- https://adstrails.com/go/708fba2f-fbc0-45d0-831f-4e92054b1b73
- https://adstrails.com/go/ac3d7719-d344-478a-b3b6-06bf5461f189
- https://boltsreach.com/go/83afb110-50f2-4b29-a93e-15e37801c7e2
- https://camplytic.com/go/7110a328-a727-4c2c-9e88-3a71adf76cb1
- https://clickzstreamer.com/go/7110a328-a727-4c2c-9e88-3a71adf76cb1
- https://clickzstreamer.com/go/cdff9f96-8cbd-4c44-b679-2f612a64cd00
- https://clovixo.com/go/35b66391-3541-4d40-a116-52515cc39b9e
- https://editorcoms.com/go/49b491b8-09d0-422d-8735-275dc82a37ca
- https://editorcoms.com/go/dd423e06-1ace-4a1f-80be-1790bdbbe75d
- https://fineclouding.com/go/0160ee85-0b3d-45cf-adbd-4801966ce1dd
- https://fineclouding.com/go/134f0807-4dc8-4a61-895c-acf5107b611a
- https://fineclouding.com/go/7ffe1a51-dc79-4e3f-ac7e-ab76c4741738
- https://fineclouding.com/go/83a7f27f-d3ae-4935-b854-fdf492984ed3
- https://fineclouding.com/go/e331e010-c671-4ea5-83c7-7518b2f08b7b
- https://freeofapps.com/go/9f900112-9d2f-41f7-a8db-cd21dd738750
- https://gamebalri.com/go/6818d61d-1f2e-4bc0-a98b-c63669acc41f
- https://gawanjaneto.com/go/180f58b8-38df-46cb-a0d2-d6f12d8aa8a8
- https://gawanjaneto.com/go/7b4c672a-7787-45cc-913b-1f2f9108d002
- https://getcodavbiz.com/go/ce1c3e68-e155-4e87-992c-b66f1485aef9
- https://glidronix.com/go/8eb5d9be-98ca-42c4-8185-090a299eb3ef
- https://godagichi.com/go/10a84a68-b524-4885-adb2-bfbda4c17778
- https://helpmemoverand.com/go/26131470-304e-4f6c-b6dc-1ffd5c5a9930
- https://helpmemoverand.com/go/a895c485-d572-4e80-bd52-9dd3540c81d9
- https://helpmemoverand.com/go/dc3ae9c2-de16-4dc0-b614-b0b36b81f319
- https://impressflow.com/go/f7d8c7fb-c416-4972-94cd-2f1ede1bac38
- https://insigelo.com/go/0e94e3bf-65a0-476a-b00e-5ababc6ff856
- https://insigelo.com/go/96f84023-dd9d-4331-9788-5705babb7f0c
- https://insigelo.com/go/fecdc64b-280d-4ee1-9f28-96efb38acb15
- https://latestgadet.com/go/837d85a4-fda0-4b10-89c8-c840455acb25
- https://linkspans.com/go/7110a328-a727-4c2c-9e88-3a71adf76cb1
- https://mediamanagerverif.com/go/2bf025b9-52c0-4587-bf7f-9a8cdd459851
- https://mediamanagerverif.com/go/9626641b-871b-45e1-b360-84e2767326cc
- https://mediamanagerverif.com/go/d3aa1081-e2fd-4bc5-b168-5502eae928f1
- https://mytecbiz.org/go/a8b87aed-1575-4d89-b503-974f4e932152
- https://nettrilo.com/go/4c5443a1-ba90-487a-839a-b67a2b0317a8
- https://nettrilo.com/go/708fba2f-fbc0-45d0-831f-4e92054b1b73
- https://nowuseemi.com/go/e594bfab-e401-456c-a4fc-63d70055ff5b
- https://offerzforu.com/go/7a343cf8-3eb1-4b24-9534-948f237f0941
- https://offerztodayforu.com/go/61eba7aa-81b9-4836-9636-76b263f6f8cd
- https://privatemeld.com/go/014e411a-91a4-44b3-9da2-5954404438dc
- https://privatox.com/go/a391ee5e-c1f4-4654-90a8-f545126dc3a7
- https://provenhandshakecap.com/go/3442df81-6329-4d47-8594-73a9455c5363
- https://provenhandshakecap.com/go/c33549db-0cfb-4805-a3f6-64213cd4c3a9
- https://provenhandshakecap.com/go/d2ce67cc-16c8-4a3a-938e-c3389b412786
- https://purnimaali.com/go/b36d4019-1072-445e-8719-8fae7640ed7f
- https://reachorax.com/go/2f3b2ad6-8c07-4095-ad09-89abc67a495d
- https://regsigara.com/go/a78798ba-50d8-4cef-9a64-1bd0e917da8e
- https://satisfiedweb.com/go/3710d145-158f-4faa-942f-467142fd9201
- https://scrutinycheck.cash/go/180f58b8-38df-46cb-a0d2-d6f12d8aa8a8
- https://scrutinycheck.cash/go/f94e2fd6-3569-4d2d-b596-5e07f79a5818
- https://searchmegood.com/go/49c2dac8-63b7-46d9-a9f6-6ebdaa1ce3ee
- https://searchmegood.com/go/897a19a7-2e55-408c-94a6-d82617b5361f
- https://secureporter.com/go/c788f30c-9d6f-4fdd-96bc-1767e250f9c5
- https://servinglane.com/go/83864c8d-2168-4d4e-bf47-b67a99e6178a
- https://sheenglathora.com/go/3442df81-6329-4d47-8594-73a9455c5363
- https://smartlinkoffer.com/go/15ef9db0-585b-4c85-9ffc-a2b6e81c4bfa
- https://smartlinkoffer.com/go/6754805d-41c5-46b7-929f-6655b02fce2c
- https://smartlinkoffer.com/go/b11f973d-01d4-4a5b-8af3-139daaa5443f
- https://spotconningo.com/go/3119e6d0-9df0-4116-816f-0ff62631557b
- https://startingdestine.com/go/ad3b65a2-9255-4017-a1e1-087bcca4e2ef
- https://stephighs.com/go/34073388-1d3a-4671-804e-036143ad82e5
- https://stephighs.com/go/4be1a5d1-14ab-44ae-bea7-d55de09afac0
- https://stephighs.com/go/a8e78df0-c0cb-4d55-b4e9-48ed33fd2a6e
- https://stephighs.com/go/ce1c3e68-e155-4e87-992c-b66f1485aef9
- https://streamingsplays.com/go/1c406539-b787-4493-a61b-f4ea31ffbd56
- https://streamingsplays.com/go/6754805d-41c5-46b7-929f-6655b02fce2c
- https://streamingsplays.com/go/b11f973d-01d4-4a5b-8af3-139daaa5443f
- https://streamingszone.com/go/b3ddd860-89c0-448c-937d-acf02f7a766f
- https://tagsflare.com/go/0c3c343a-abfa-4467-b52d-0c20711b2d7e
- https://taketheright.com/go/ee8430f6-c0db-4d47-95db-3fdcf5941225
- https://techstalone.com/go/2bf025b9-52c0-4587-bf7f-9a8cdd459851
- https://techstalone.com/go/9626641b-871b-45e1-b360-84e2767326cc
- https://techstalone.com/go/d3aa1081-e2fd-4bc5-b168-5502eae928f1
- https://tracksvista.com/go/b67f38ca-952b-44e3-b463-126a325e85c6
- https://trailsift.com/go/5c881316-6dd0-46cb-b9aa-2d72b614d026
- https://tunneloid.com/go/520c3874-eeb8-4f5c-bc79-849759f17715
- https://vanshitref.com/go/e594bfab-e401-456c-a4fc-63d70055ff5b
- https://verticbuzz.com/go/ca526b93-0797-4fd6-b107-fdf823a5badb
- https://westreamdaily.com/go/2912600c-ec64-47fd-93cd-d7172bc29206
- https://yourtruelover.com/go/76c79b3b-c3bd-409a-9f9d-d25f984b6ac5
- https://yourtruelover.com/go/d05741b5-5782-4882-b0d0-d5cbf5c14f58
- itechtics.com/hide-show-taskbar
- izmncdnboxuse01.b-cdn.net/final-step-to-continue.html
- izmncdnboxuse02.b-cdn.net/final-step-to-continue.html
- izmncdnboxuse03.b-cdn.net/final-step-to-continue.html
- izmncdnboxuse04.b-cdn.net/final-step-to-continue.html
- izmncdnboxuse05.b-cdn.net/final-step-to-continue.html
- izmncdnboxuse06.b-cdn.net/final-step-to-continue.html
- izmncdnboxuse07.b-cdn.net/final-step-to-continue.html
- marimarbahamas.me/downloads/index.html
- newverifyyourself-system.b-cdn.net/recaptcha_verification-v1.html
- newverifyyourself-system1.b-cdn.net/recaptcha_verification-new.html
- nikutjyjgchr.b-cdn.net/RYFTGJcaptchv1.html
- nikutjyjgchr.b-cdn.net/SYNCfuzzv2.html
- nikutjyjgchrv21.b-cdn.net/SYNCfuzzv2.html
- nikutjyjgchrv22.b-cdn.net/SYNCfuzzv2.html
- nikutjyjgchrv23.b-cdn.net/SYNCfuzzv2.html
- nikutjyjgchrv24.b-cdn.net/SYNCfuzzv2.html
- nikutjyjgchrv25.b-cdn.net/SYNCfuzzv2.html
- objectstorage.ap-mumbai-1.oraclecloud.com/n/bmy7etxgksxo/b/bucket-aws-vip/o/
- objectstorage.ap-mumbai-1.oraclecloud.com/n/bmy7etxgksxo/b/buket-aws/o/
- objectstorage.ap-mumbai-1.oraclecloud.com/n/bmy7etxgksxo/b/fetchbucket/o/
- objectstorage.ap-mumbai-1.oraclecloud.com/n/bmy7etxgksxo/b/lusbucket/o/
- objectstorage.sa-santiago-1.oraclecloud.com/n/bmy7etxgksxo/b/to-continue/o/
- precious-valkyrie-cea580.netlify.app/recaptcha-sep-v2-1-baba.html
- pub-7a0525921ff54f1193db83d7303c6ee8.r2.dev/verify-me-first-v1.html
- restoindia.me/recaptcha/downloads
- sos-at-vie-1.exo.io/bucketrack/dir62/final/
- sos-at-vie-1.exo.io/cloudcask/
- sos-at-vie-2.exo.io/sanbuck/
- sos-bg-sof-1.exo.io/amdbuck/
- sos-bg-sof-1.exo.io/asgbuck/verify/hcaptcha-human-check.html
- sos-ch-dk-2.exo.io/ataniya/bigot/
- sos-ch-dk-2.exo.io/bucketofbits/modi-cloudflare-update-new.html
- sos-ch-dk-2.exo.io/filebyte/
- sos-ch-gva-2.exo.io/bytebin/
- sos-ch-gva-2.exo.io/clouddesk/
- sos-ch-gva-2.sos-cdn.net/bytebin/
- sos-de-fra-1.exo.io/sandisk/step/
- system-update-botcheck.b-cdn.net/security-challenge-captcha.html
- sys-update-botcheck.b-cdn.net/get-this-puzzle-solved.html
- travelwithandrew.xyz/assets/index.html
- upgraded-botcheck-encryption.b-cdn.net/verify-human-recaptcha.html
- verification-module-v2.b-cdn.net/recaptcha_verification_updated.html
- verification-module-v3.b-cdn.net/recaptcha_verification_updated.html
- verification-module-v4.b-cdn.net/recaptcha_verification_updated.html
- verification-module-v5.b-cdn.net/recaptcha_verification_updated.html
- verification-module-v6.b-cdn.net/recaptcha_verification_updated.html
- verification-module-v7.b-cdn.net/recaptcha_verification_updated.html
- verification-module-v8.b-cdn.net/recaptcha_verification_updated.html
- verification-module-v9.b-cdn.net/recaptcha_verification_updated.html
- verifyyourself-newsystem.b-cdn.net/recaptcha_verification.html
- verifyyourself-system.b-cdn.net/recaptcha_verification-new.html
- weoidnet01.b-cdn.net/IQWJDolx.html
- weoidnet010.b-cdn.net/IQWJDolx.html
- weoidnet011.b-cdn.net/IQWJDolx.html
- weoidnet012.b-cdn.net/IQWJDolx.html
- weoidnet013.b-cdn.net/IQWJDolx.html
- weoidnet015.b-cdn.net/IQWJDolx.html
- weoidnet02.b-cdn.net/IQWJDolx.html
- weoidnet03.b-cdn.net/IQWJDolx.html
- weoidnet04.b-cdn.net/IQWJDolx.html
- weoidnet05.b-cdn.net/IQWJDolx.html
- weoidnet06.b-cdn.net/IQWJDolx.html
- weoidnet07.b-cdn.net/IQWJDolx.html
- weoidnet08.b-cdn.net/IQWJDolx.html
- weoidnet09.b-cdn.net/IQWJDolx.html
- ytgvjh65archi.b-cdn.net/