После установки сжечь: растут заражения через поддельные обновления браузера

Последние исследования в области кибербезопасности показывают рост числа киберпреступников, маскирующих вредоносные загрузки под фальшивые обновления браузера.

Исследователи из Proofpoint обратили внимание на усиление тактики, вдохновившись успехами вредоносного ПО SocGholish, которое используется уже более 5 лет. За последние 5 месяцев было выявлено 3 крупных кампании, применяющие подобные методы, но с различными полезными нагрузками.

Существует опасение, что, несмотря на то что сейчас распространяется только вредоносное ПО, кампании могут стать отличной возможностью для брокеров начального доступа (Initial Access Brokers, IAB) предоставить эффективный способ заражения конечных пользователей вымогательским ПО.

SocGholish – это старейшая из кампаний, использующих поддельные уведомления об обновлении браузера. Кампанию обычно приписывают группировке TA569. В августе стало известно, что SocGholish способствовал доставке вредоносного ПО в 27% заражений. SocGholish входил в тройку лидеров среди загрузчиков вредоносного ПО, которые в совокупности составляли 80% всех атак.

Типичная приманка поддельного обновления браузера кампании SocGholish

• RogueRaticate (FakeSG), была обнаружена в мае 2023 года, но её активность, предположительно, началась еще в ноябре 2022 года. Это первая крупная кампания по поддельному обновлению браузера после SocGholish.
• ZPHP (SmartApeSG), обнаруженная в июне. Подобно RogueRaticate, ZPHP чаще всего приводит к установке RAT-трояна NetSupport на компьютер жертвы.
• ClearFake, обнаруженная в июле. Proofpoint охарактеризовал ClearFake как кампанию, которая доставляет инфостилеры и адаптирует приманки не только к браузеру пользователя, но и к его языку, расширяя круг целей.

Все кампании различаются в способе доставки вредоносного ПО, но следуют трехэтапной структуре, адаптируя свои уведомления в зависимости от машины и браузера пользователя. На первом этапе скомпрометированный сайт заражается вредоносным кодом. На втором этапе происходит взаимодействие между вредоносным сайтом и пользователем. На третьем этапе происходит окончательная доставка вредоносного ПО.

Операторы SocGholish разработали три различных метода перехода от первого этапа (заражение законного сайта вредоносным кодом) ко второму этапу (перехват трафика между атакующим и пользователем).

Два из этих методов включают в себя использование разных систем распределения трафика (Traffic Distribution Systems, TDS), которые позволяют автоматически перенаправлять трафик от зараженных сайтов к доменам злоумышленника. Третий метод использует асинхронный запрос JavaScript для перенаправления трафика к домену, где расположен вредоносный код. Такой метод особенно эффективен, так как позволяет быстро и незаметно для пользователя перенаправлять его на вредоносный ресурс.

С другой стороны, кампании RogueRaticate и ClearFake применяют более прямой подход. Они используют TDS только на втором этапе атаки. Вместо использования сложных механизмов перенаправления, кампании полагаются на прямое взаимодействие с пользователем через зараженные рекламные блоки или сообщения о необходимости обновления браузера.

Таким образом, несмотря на общую цель – заразить устройства пользователей вредоносным ПО – различные киберпреступные группировки применяют уникальные и разнообразные методы для достижения своих целей.