Вредонос Kovter распространяется через фальшивые обновления для браузеров

Исследователи компании Proofpoint сообщили о новой вредоносной кампании, в рамках которой группировка, окрещенная экспертами KovCoreG, распространяет многофункциональное вредоносное ПО Kovter через фальшивые обновления для браузера или апдейты для Adobe Flash.

В целях заражения компьютеров пользователей атакующие используют вредоносные рекламные баннеры на PornHub для перенаправления жертв на мошеннический ресурс, предлагающий скачать обновление для браузера. В зависимости от используемого интернет-обозревателя на экране отображаются разные уведомления.

К примеру, пользователи Chrome и Firefox видят сообщение с рекомендацией загрузить обновление для соответствующего браузера, а пользователям Microsoft Internet Explorer и Edge предлагается скачать обновление для Flash.

После загрузки обновлений на устройства пользователей загружается вредоносное ПО Kovter – многофункциональный загрузчик, способный загружать вредоносное рекламное ПО, вымогательское ПО, инфостилеры, и прочие вредоносы. KovCoreG использовала фильтры для отслеживания геолокации жертв и атаковала только пользователей в Великобритании, США, Австралии и Канаде. 

Исследователи проинформировали руководство Pornhub и рекламной сети Traffic Junky, которой принадлежали скомпрометированные баннеры. Обе компании уже удалили вредоносную рекламу, однако, по мнению специалистов, группировка не прекратит свою деятельность и вскоре "всплывет" где-нибудь еще в Сети.