Вредоносный фреймворк генерирует 1 миллионов объявлений

исследователи Точка Возгорания, обнаружили отличную рекламную среду, параллельную рекламе Google AdSense. Исследователи говорят, что основными целями атакующих являются такие браузеры, как Google Chrome, Mozilla Firefox и яндекс браузер, работающий на компьютерах с Windows и являются основой ботнета. Как сообщили исследователи за последние три месяца, они превысили миллиард 1 объявления через эти рамки.

Заражение компьютера жертвы начинается с использования раздела Installer, который установит и настроит расширение вредоносного браузера, а также обеспечит его постоянное присутствие в системе, создав запланированное задание (вредоносное ПО сделает вид, что такое Центр обновления Windows).

Далее еще один каркасный модуль, искатель, начинает собирать файлы cookie и учетные данные из зараженной системы, отправляя их вредоносным агентам в виде ZIP-файлов. Кроме того, этот раздел будет взаимодействовать с сервером управления подкаталогом, который передает команды вредоносных программ и сообщает о том, с какой частотой требуется сбор и кража данных из зараженных систем.

Затем Patcher, который использовался в более ранней версии платформы для установки вредоносного расширения, приобрел новые версии, уже включенные в модуль установщика.

Как только браузер успешно заражен, расширение сразу же начнет работать, встраивая рекламу на веб-сайты и создавая данные, которые скрыты для пользователя (например, он будет смотреть кадры Twitch в фоновом режиме или подобное видео в YouTube).

Интересным моментом является то, что рекламные вставки появляются не на всех сайтах, посещенных жертвой. Это означает, что вредоносная программа имеет обширные «черные списки», которые включают в себя домены в Google, несколько российских сайтов и порно-сайты.

Согласно Flashpoint, эта кампания ориентирована в основном на такие страны, как Россия, Украина и Казахстан.