После установки сжечь: растут заражения через поддельные обновления браузера

Последние исследования в области кибербезопасности показывают рост числа киберпреступников, маскирующих вредоносные загрузки под фальшивые обновления браузера .

Исследователи из Proofpoint обратили внимание на усиление тактики, вдохновившись успехами вредоносного ПО SocGholish , которое используется уже более 5 лет. За последние 5 месяцев было выявлено 3 крупных кампании, применяющие подобные методы, но с различными полезными нагрузками.

Существует опасение, что, несмотря на то что сейчас распространяется только вредоносное ПО, кампании могут стать отличной возможностью для брокеров начального доступа (Initial Access Brokers, IAB ) предоставить эффективный способ заражения конечных пользователей вымогательским ПО.

SocGholish – это старейшая из кампаний, использующих поддельные уведомления об обновлении браузера. Кампанию обычно приписывают группировке TA569. В августе стало известно, что SocGholish способствовал доставке вредоносного ПО в 27% заражений. SocGholish входил в тройку лидеров среди загрузчиков вредоносного ПО, которые в совокупности составляли 80% всех атак.

Типичная приманка поддельного обновления браузера кампании SocGholish

• RogueRaticate (FakeSG), была обнаружена в мае 2023 года, но её активность, предположительно, началась еще в ноябре 2022 года. Это первая крупная кампания по поддельному обновлению браузера после SocGholish.
• ZPHP (SmartApeSG), обнаруженная в июне. Подобно RogueRaticate, ZPHP чаще всего приводит к установке RAT -трояна NetSupport на компьютер жертвы.
• ClearFake, обнаруженная в июле. Proofpoint охарактеризовал ClearFake как кампанию, которая доставляет инфостилеры и адаптирует приманки не только к браузеру пользователя, но и к его языку, расширяя круг целей.

Все кампании различаются в способе доставки вредоносного ПО, но следуют трехэтапной структуре, адаптируя свои уведомления в зависимости от машины и браузера пользователя. На первом этапе скомпрометированный сайт заражается вредоносным кодом. На втором этапе происходит взаимодействие между вредоносным сайтом и пользователем. На третьем этапе происходит окончательная доставка вредоносного ПО.

Операторы SocGholish разработали три различных метода перехода от первого этапа (заражение законного сайта вредоносным кодом) ко второму этапу (перехват трафика между атакующим и пользователем).

Два из этих методов включают в себя использование разных систем распределения трафика (Traffic Distribution Systems, TDS), которые позволяют автоматически перенаправлять трафик от зараженных сайтов к доменам злоумышленника. Третий метод использует асинхронный запрос JavaScript для перенаправления трафика к домену, где расположен вредоносный код. Такой метод особенно эффективен, так как позволяет быстро и незаметно для пользователя перенаправлять его на вредоносный ресурс.

С другой стороны, кампании RogueRaticate и ClearFake применяют более прямой подход. Они используют TDS только на втором этапе атаки. Вместо использования сложных механизмов перенаправления, кампании полагаются на прямое взаимодействие с пользователем через зараженные рекламные блоки или сообщения о необходимости обновления браузера.

Таким образом, несмотря на общую цель – заразить устройства пользователей вредоносным ПО – различные киберпреступные группировки применяют уникальные и разнообразные методы для достижения своих целей.