исследователи Точка Возгорания, обнаружили отличную рекламную среду, параллельную рекламе Google AdSense. Исследователи говорят, что основными целями атакующих являются такие браузеры, как Google Chrome, Mozilla Firefox и яндекс браузер, работающий на компьютерах с Windows и являются основой ботнета. Как сообщили исследователи за последние три месяца, они превысили миллиард 1 объявления через эти рамки.
Заражение компьютера жертвы начинается с использования раздела Installer, который установит и настроит расширение вредоносного браузера, а также обеспечит его постоянное присутствие в системе, создав запланированное задание (вредоносное ПО сделает вид, что такое Центр обновления Windows).
Далее еще один каркасный модуль, Finder, начинает собирать файлы cookie и учетные данные из зараженной системы, отправляя их вредоносным агентам в виде ZIP-файлов. Кроме того, этот раздел будет взаимодействовать с сервером управления подкаталогом, который передает команды вредоносных программ и сообщает о том, с какой частотой требуется сбор и кража данных из зараженных систем.
Затем Patcher, который использовался в более ранней версии платформы для установки вредоносного расширения, приобрел новые версии, уже включенные в модуль установщика.
Как только браузер успешно заражен, расширение сразу же начнет работать, встраивая рекламу на веб-сайты и создавая данные, которые скрыты для пользователя (например, он будет смотреть кадры Twitch в фоновом режиме или подобное видео в В предложении были упомянуты такие социальные сети, как YouTube).
Интересным фактом является то, что вставка рекламы появляется не на всех сайтах, которые посещает жертва. Это означает, что вредоносная программа имеет обширные «черные списки», которые включают в себя домены на Google, различные российские сайты и порнографические сайты.
Согласно Flashpoint, эта кампания ориентирована в основном на такие страны, как Россия, Украина и Казахстан.