Исследователи обнаружили масштабную фишинговую кампанию, рассчитанную на владельцев iPhone и iPad. Проводя атаки на цепочку поставок, злоумышленники внедряют на сайты поддельную рекламу, которая перенаправляет посетителей на страницы, запрашивающие персональные данные.
Проведенное в TMT Digital расследование показало, что в мошенническую схему невольно вовлечены как минимум пять издателей рекламного контента (владельцев популярных сайтов), три вендора специализированных платформ с приоритетом потребления и 11 других поставщиков средств публикации и оптимизации рекламы в Интернете.
Также было установлено, что редиректы и кражу вводимых в формы данных осуществляет вредоносное ПО — исследователи назвали его Stegoware-3PC. Мошеннические баннеры, как правило, имитируют сообщения известных ритейлеров с призывами совершать покупки онлайн.
Примечательно, что для сокрытия Stegoware-3PC от обнаружения авторы текущих атак используют стеганографию: вредоносный код содержится в двух последовательно запускаемых png-файлах. Один из них отслеживает искомые действия посетителей на странице, другой совершает ряд проверок, чтобы удостовериться, что потенциальная жертва использует iOS.
Полгода назад TMT Digital выявила аналогичную киберкампанию, тоже с высокой ротацией уязвимых звеньев в цепочке поставок, вредоносных доменов и форматов рекламных объявлений. Однако используемый на тот момент зловред — ShapeShifter-3PC — был гораздо тяжелее: его код содержал почти 2000 строк, тогда как создатели Stegoware-3PC обошлись 149.
Источник: https://threatpost.ru/stegoware-3pc-malware-targets-ios-devices-via-fake-ads/33260/