Malsmoke

Malsmoke è il nome dato dai ricercatori di infosec a una campagna di attacco e al gruppo di hacker responsabile. Gli aggressori hanno distribuito minacce malware di infostealer ai computer di utenti ignari. Le catene di attacco iniziali hanno coinvolto kit di exploit che miravano alle vulnerabilità di Internet Explorer e Adobe Flash per fornire il dropper Smoke Loader. Affidarsi alle vulnerabilità del software nel suo ciclo di fine vita significa che il potenziale gruppo target è piuttosto limitato quando il software in questione può essere considerato obsoleto, in particolare.

Quindi, la campagna di Malsmoke ha deciso di abbandonare il suo piano di attacco iniziale e sostituirlo con pubblicità pop-up danneggiate per falsi aggiornamenti di Java, con questa tattica in grado di influenzare Google Chrome, il browser Web più utilizzato. Anche il payload del malware eliminato è stato modificato, con Malsmoke che ora offre una variante di ZLoader. Inizialmente, ZLoader è stato lanciato come Trojan bancario che cercava di raccogliere vari dati di pagamento e carta di credito dalle vittime infette. Le capacità del malware sono state successivamente ampliate attraverso diverse versioni per trasformare la minaccia in un vero e proprio raccoglitore di informazioni in grado di raccogliere le credenziali degli utenti e altri dati privati da una vasta gamma di istituti finanziari.

Per massimizzare l'esposizione delle loro pubblicità pop-up corrotte, l'attore delle minacce dietro Malsmoke ha abusato praticamente di tutte le reti pubblicitarie per adulti. Sebbene il targeting di siti Web per adulti sia una pratica comune per i criminali informatici, la maggior parte delle campagne dannose non può superare i siti Web a basso traffico. Malsmoke, d'altra parte, era riuscita a inserire le sue pubblicità corrotte su xHamster, uno dei più grandi siti web, non solo nel settore per adulti, su Internet con circa un miliardo di visitatori mensili.

Gli utenti che si innamorano degli annunci di Malsmoke e fanno clic su di essi vengono indirizzati a una pagina esca appositamente predisposta contenente diverse immagini per presunti video per adulti. Tuttavia, l'avvio di uno dei video visualizzati comporterà un messaggio di errore che indica che manca Java Plug-in 8.0. Per continuare a guardare il video, all'utente viene richiesto di scaricare un falso aggiornamento di Java denominato JavaPlug-in.msi. Il file trasporta il payload ZLoader. Per rafforzare ulteriormente la pretesa che tutto sia perfettamente legittimo, l'aggiornamento danneggiato viene firmato digitalmente come un programma di installazione Microsoft.

Gli annunci pubblicitari visualizzati su siti Web per adulti sono notoriamente rischiosi. Gli utenti dovrebbero prestare estrema attenzione quando decidono di fare clic su uno.