Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές μεθόδους για την αποφυγή της ανίχνευσης. Η malvertising εκστρατεία με το όνομα “LuckyBoy” επικεντρώνεται σε χρήστες iOS, Android και Xbox και είναι μια tag-based καμπάνια πολλαπλών σταδίων.
Από τον Δεκέμβριο του 2020, έχει διεισδύσει σε περισσότερα από 10 Demand Side Platforms (DSP), κυρίως στην Ευρώπη, αλλά έχουν εντοπιστεί και θύματα στις ΗΠΑ και τον Καναδά.
Σύμφωνα με τη Media Trust, το κακόβουλο λογισμικό, που χρησιμοποιείται, ελέγχει για ένα global variable “luckyboy“, που του επιτρέπει να ανιχνεύει εάν υπάρχουν blockers, testing environments και ενεργά debuggers στις στοχευμένες συσκευές. Εάν εντοπιστεί κάτι από τα παραπάνω, το κακόβουλο λογισμικό δεν θα εκτελεστεί.
Εάν, όμως, είναι “καθαρό το πεδίο”, το malware θα εκτελέσει ένα tracking pixel, που έχει προγραμματιστεί για να ανακατευθύνει το χρήστη σε κακόβουλο περιεχόμενο (π.χ. phishing σελίδες και πλαστές ενημερώσεις software).
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το LuckyBoy γίνεται σε στάδια. Μικρές καμπάνιες ξεκινούν τις Πέμπτες τα βράδια και συνεχίζονται όλο το Σαββατοκύριακο.
Τα δεδομένα της συσκευής που συλλέγονται περιλαμβάνουν: κωδικό χώρας, πληροφορίες γραφικών, αριθμό πυρήνων CPU, επίπεδο της μπαταρίας, τρέχον domain, plugins, παρουσία webdriver και άλλα.
Το κακόβουλο λογισμικό πραγματοποιεί συνεχώς ελέγχους για να διασφαλίσει ότι το value του global variable παραμένει “luckyboy”. Διαφορετικά, το script σταματά την εκτέλεση.
“Το LuckyBoy πιθανότατα εκτελεί δοκιμές, εξετάζοντας τις πιθανότητες επιτυχίας πριν ξεκινήσει μια ευρύτερη επίθεση“. Είναι μια tag-based malvertising εκστρατεία, με malware blocking code, για να παρακάμπτει αυτές τις άμυνες. “Αυτό αποτελεί περαιτέρω απόδειξη ότι η πολυπλοκότητά της είναι εντυπωσιακή“, σημειώνει η The Media Trust.
Η εταιρεία ασφαλείας λέει ότι συνεργάζεται με την Google και την TAG Threat Exchange για τον αποκλεισμό της εκστρατείας που στοχεύει χρήστες iOS, Android και Xbox.
Πηγή: SecurityWeek