Источник изображения: Ed Hardie / Unsplash
Два сайта с пиратскими видеотрансляциями через рекламу заразили устройства почти миллиона пользователей вредоносным ПО, сообщила Microsoft. Реклама на этих сайтах перенаправляла пользователей на страницы с мошенническими схемами, которые в итоге загружали на устройства malware, сообщает PCMag.
«Эта вредоносная рекламная кампания затронула около миллиона устройств по всему миру, став частью атаки, направленной на кражу информации», — заявили в отчете от четверга представители службы безопасности Microsoft. Атака носила оппортунистический характер, поражая устройства без разбора.
Microsoft выявила, что источником заражений стали два домена с видеостримами: movies7[.]net и 0123movie[.]art. Реклама на этих сайтах перенаправляла пользователей на сайты с мошенническими схемами техподдержки, которые затем вели на страницы в Discord, Dropbox и GitHub, где размещалось вредоносное ПО.
Компания не уточнила, как выглядели мошеннические сайты, но, вероятно, они побуждали пользователей загружать программы, которые на деле оказывались вредоносными программами malware. Такие программы могли красть системную информацию или даже предоставлять злоумышленникам удаленный доступ к компьютеру пользователя.
Атака пыталась скрыть свою природу, используя подписанные сертификаты для ПО и доставляя некоторые легитимные файлы на начальном этапе. «По состоянию на середину января 2025 года обнаруженные начальные полезные нагрузки были подписаны с использованием недавно созданного сертификата. Всего было выявлено 12 различных сертификатов, которые уже отозваны», — отметили в Microsoft.
Вторая стадия атаки включала сбор информации о компьютере и передавалась на сервер злоумышленников. Дополнительное ПО могло устанавливаться для слежки за активностью в браузерах, включая Firefox, Chrome и Edge, а также для взаимодействия с открытыми вкладками, сообщили в Microsoft.
Впервые атака была обнаружена в начале декабря и затронула широкий спектр ПК, включая устройства как частных, так и корпоративных пользователей, что подчёркивает её крайне неизбирательный характер. GitHub, с недавних порпринадлежащий Microsoft, а также Discord и Dropbox, удалили страницы с вредоносным ПО, при этом встроенный Microsoft Defender на Windows способен обнаруживать и блокировать используемый в атаке malware.
