Вредоносное ПО распространялось под видом обновлений для браузеров

С помощью рекламы на PornHub атакующие заманивали жертв на мошеннический ресурс, который предлагал скачать обновление для браузера.   

Эксперты из Proofpoint сообщили о новой вредоносной кампании, в рамках которой распространялось многофункциональное вредоносное ПО Kovter.  Группировка, именуемая экспертами KovCoreG, распространяла его через фальшивые обновления для браузера или апдейты для Adobe Flash.

С целью заражения компьютеров пользователей, преступники использовали вредоносные рекламные баннеры на PornHub. С их помощью они перенаправляли жертв на мошеннический ресурс, предлагающий скачать обновление для браузера: в зависимости от используемого поисковика, на экранах показывались разные уведомления. Так, например, пользователи Chrome и Firefox видели рекомендацию загрузить обновление для соответствующего браузера, а пользователям Microsoft Internet Explorer и Edge предлагалось скачать обновление для Flash.

После загрузки обновлений на устройства пользователей загружалось вредоносное ПО Kovter – многофункциональный загрузчик, способный загружать вредоносное рекламное ПО, вымогательское ПО, инфостилеры, и прочие вредоносы. Преступники использовали фильтры для отслеживания геолокации жертв и атаковали пользователей в Великобритании, США, Австралии и Канаде.

Исследователи уведомили об инциденте руководителей Pornhub и рекламной сети Traffic Junky (ей принадлежали скомпрометированные баннеры). Обе компании вредоносное ПО уже удалили, однако, по мнению специалистов, на этом их деятельность не прекратится. Поэтому всем пользователям рекомендуется быть более бдительными и скачивать обновления только с официальных ресурсов.

Источник: securitylab.ru