Нещодавно ідентифікована кампанія зловживання рекламою, націлена на користувачів мобільних та інших підключених пристроїв, активно використовує алгоритми затухання та маскування, щоб уникнути виявлення.

Що таке LuckyBoy?

LuckyBoy – це багатоетапна кампанія на основі тегів та орієнтована на користувачів iOS, Android та Xbox, пише Security Week. З грудня 2020 року кіберзлочинцям вдалося проникнути більш ніж в десять систем Demand Side Platforms (DSP).

За даними команії з кібербезпеки Media Trust, зловмисне програмне забезпечення перевіряє глобальну змінну “luckyboy”, що дозволяє йому виявляти, чи є на пристрої блокатори, середовища тестування та активні налагоджувачі. Якщо такі виявлено, шкідливе програмне забезпечення не буде спрацьовувати.

Якщо ж “шкідник” виявляє відсутність перешкод, він запускає піксель для відстеження, запрограмований для перенаправлення користувача на шкідливий вміст, включаючи фішинг-сторінки та підроблені оновлення програмного забезпечення.

Як працює “шкідник”?

Спостереження за LuckyBoy свідчать про те, що він працює за таким алгоритомом: у четвер увечері запускаються невеликі кампанії з лише декількома скомпрометованими мітками, які тривають протягом усіх вихідних.

“Шкідник” просувається поетапно – із застосуванням обфускації коду та виключення домену, а також вилучення інформації про пристрій.

Зібрані дані пристрою включають код країни, графічну інформацію, кількість ядер процесора, рівень заряду акумулятора, поточний домен, плагіни, наявність веб-драйвера та наявність сенсорного екрану, який, можливо, буде налаштовано на майбутні атаки.

Зловмисне програмне забезпечення постійно виконує перевірки, щоб гарантувати, що значення глобальної змінної залишається “LuckyBoy”. В іншому випадку сценарій зупиняє виконання і завершує роботу після передачі чистого оголошення користувачеві.

“LuckyBoy, ймовірно, проводить тести, намагаючись оцінити їх успішність перед початком ширшої атаки”, – зазначає Media Trust у звіті, який поділився з SecurityWeek.

Компанія заявляє, що наразі співпрацює з Google та TAG Threat Exchange, щоб ізолювати користувачів від шкідливої реклами та заблокувати їм запуск цих кампаній.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США

Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.

Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.

За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.

Ця стаття Шпигунське ПЗ збирає дані шляхом зловживання рекламою раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим