Malsmoke

Malsmoke é o nome dado pelos pesquisadores de infosec a uma campanha de ataque e ao grupo de hackers responsável por ela. Os invasores implantaram ameaças de malware infostealer nos computadores de usuários desavisados. As cadeias de ataque iniciais envolveram kits de exploração visando vulnerabilidades do Internet Explorer e Adobe Flash para entregar o dropper Smoke Loader. Contar com vulnerabilidades de software em seu ciclo de fim de vida significa que o grupo-alvo potencial é bastante limitado quando o software em questão pode ser considerado obsoleto, especialmente.

Portanto, a campanha do Malsmoke decidiu abandonar seu plano de ataque inicial e substituí-lo por anúncios pop-up corrompidos para a atualização falsa do Java - com essa tática sendo capaz de afetar o Google Chrome, o navegador da Web mais usado. A carga útil do malware descartada também foi alterada, com o Malsmoke agora oferecendo uma variante do ZLoader. Inicialmente, o ZLoader foi lançado como um Trojan bancário que tentava coletar várias informações de pagamento e cartão de crédito de vítimas infectadas. Os recursos do malware foram subsequentemente expandidos por meio de várias versões para transformar a ameaça em um coletor de informações completo que pode coletar credenciais de usuário e outros dados privados de uma ampla gama de instituições financeiras.

Para maximizar a exposição de seus anúncios pop-up corrompidos, o ator de ameaças por trás de Malsmoke abusou de praticamente todas as redes de publicidade para adultos. Embora visar sites adultos seja uma prática comum para os cibercriminosos, a maioria das campanhas prejudiciais não pode passar por sites de baixo tráfego. O Malsmoke, por outro lado, conseguiu colocar seus anúncios corrompidos no xHamster, um dos maiores sites, não apenas da indústria adulta, da Internet com cerca de um bilhão de visitantes mensais.

Os usuários que acessam os anúncios do Malsmoke e clicam neles são levados a uma página de chamariz especialmente criada, contendo várias imagens para supostos vídeos adultos. No entanto, iniciar qualquer um dos vídeos exibidos resultará em uma mensagem de erro informando que o Java Plug-in 8.0 está ausente. Para continuar assistindo ao vídeo, o usuário é solicitado a baixar uma atualização falsa do Java chamada JavaPlug-in.msi. O arquivo carrega a carga útil . Para fortalecer ainda mais a pretensão de que tudo é perfeitamente legítimo, a atualização corrompida é assinada digitalmente como um instalador da Microsoft.

Os anúncios exibidos em sites adultos são notoriamente arriscados. Os usuários devem ter muito cuidado ao decidir clicar em um deles.