ИБ-специалист Денис Синегубко (Denis Sinegubko) обнаружил кампанию по распространению троянов и банкеров через сеть взломанных сайтов. Ее организаторы рассылают посетителям зараженных ресурсов фальшивые оповещения о необходимости обновления браузера.
Сообщения отображаются в Firefox, Chrome, Internet Explorer, Edge и содержат ссылки на разные типы вредоносов: для Windows преступники подготовили шифровальщик, а для Android — банковский троян.
Мошенническое ПО распространяется в виде EXE- и APK-файлов, а также ZIP-архивов. По данным экспертов, оно размещено более чем на 1500 сайтах. Большинство этих ресурсов работают на WordPress, остальные — либо на Data Life Engine, либо не используют CMS вообще.
Злоумышленники задействуют скомпрометированные сайты на разных этапах атаки. Некоторые страницы нужны им для рассылки фальшивых оповещений — для этого преступники внедряют в них JavaScript-сценарий либо ссылку на файл с расширением .js. На других сайтах мошенники размещают непосредственно вредоносное ПО.
Исследователь Питер Грамантик (Peter Gramantik) изучил один из распространяемых злоумышленниками файлов. Для этого он перешел по ссылке в фальшивом оповещении и скачал ZIP-архив. Последний весил около 3 Кб и содержал только один JavaScript-скрипт — Update_2019_02.browser-components .js. Чтобы скрыть расширение, мошенники добавили в конце названия зловреда 100 пробелов.
По словам эксперта, скрипт исполняется через службу Windows Script Host и использует ее для загрузки файла browser.jpg со взломанных сайтов. Несмотря на расширение, последний можно запустить в командной строке по команде cmd.exe /c
Примечательно, что в 2018 году, возможно, те же злоумышленники провели идентичную кампанию. В рамках атаки FakeUpdates они распространяли банковские трояны и другое ПО под видом обновлений для браузеров Firefox, Chrome и Internet Explorer. Для рассылки зловредов использовались скомпрометированные сайты, работающие на WordPress и других CMS.
Источник: https://threatpost.ru/javascripted-browser-updates-propagate-malware/31470/