900 жертв в тени рекламы: вирус из Ливии атакует нефтяников через фейковые новости

Эксперты Positive Technologies обнаружили масштабную вредоносную кампанию, направленную на пользователей Ближнего Востока и Северной Африки. По их данным, атака началась в сентябре 2024 года, а злоумышленники распространяют модифицированную версию вредоносного ПО AsyncRAT, используя поддельные новостные каналы в соцсетях. Они создают рекламные объявления со ссылками на файлообменники или Telegram-каналы, откуда пользователи загружают заражённые файлы.

Рекламный пост.

Эксперты установили, что атака затронула около 900 человек, большая часть которых — обычные пользователи. Среди жертв также оказались сотрудники крупных компаний из различных сфер: нефтедобычи, строительства, информационных технологий и сельского хозяйства. Анализ географии атак показывает, что 49% пострадавших проживают в Ливии, 17% — в Саудовской Аравии, 10% — в Египте, 9% — в Турции, 7% — в ОАЭ, 5% — в Катаре, остальные случаи зафиксированы в других странах региона.

Карта обнаруженных рекламных постов.

Хакерская группировка, организовавшая кампанию, получила название Desert Dexter — его выбрали эксперты по имени одного из подозреваемых авторов вредоносного кода. Специалисты отмечают, что злоумышленники активно используют временные аккаунты и поддельные новостные каналы в Facebook. Они обходят механизмы фильтрации рекламного контента, что позволяет им распространять вредоносные ссылки среди пользователей. Подобный метод атак уже фиксировался ранее: в 2019 году компания Check Point описывала аналогичную кибератаку, но текущая версия включает обновлённые методы и более сложные схемы заражения.

Сценарий атаки состоит из нескольких этапов. Пользователь, увидев рекламу, переходит по ссылке на файлообменник или Telegram-канал, замаскированный под новостной ресурс. Там он скачивает RAR-архив, содержащий вредоносные файлы. После открытия архива загружается и запускается AsyncRAT — инструмент удалённого администрирования, используемый хакерами для слежки и кражи данных. Модифицированная версия AsyncRAT оснащена специальным модулем IdSender, который анализирует браузеры пользователя, выявляя установленные расширения для двухфакторной аутентификации, криптокошельков и связанных с ними программ. Полученные данные передаются в Telegram-бот, контролируемый злоумышленниками.

По мнению специалистов, применяемые инструменты не отличаются высокой сложностью, но грамотное использование рекламы в соцсетях и легитимных сервисов делает их атаки успешными. Desert Dexter также активно использует геополитическую обстановку в регионе, публикуя сообщения о якобы слитых конфиденциальных данных. Это провоцирует интерес не только со стороны обычных пользователей, но и представителей госструктур, которые могут невольно подвергаться атаке.