Сървъри, които са използвани за показване на реклами на големи сайтове, включително на популярен YouTube към MP3 сайт, са компрометирани, за да разпространяват GreenFlash комплект за експлойт. Чрез него компютрите се заразяват със Seon ransomware.

Тази техника на заразяване се нарича malvertising. Хакери я използват, за да атакуват огромни количества хора, посредством популярни и легитимни сайтове. В рекламите се вгражда линк. Част от неподозиращите нищо потребители кликват на рекламата и биват пренасочени към сайт, където започва процеса по заразяването.

Някои кампании успяват да се реализират в огромен мащаб. Един пример за такава е VeryMal, която се фокусира върху потребителите на Apple. Използва домейни, които принадлежат на The New York Times, BBC, AOL и MSN.

Изчисления на анализатори сочат, че само за 2017 година malvertising посредством стеганография (начин зловреден код да се вгражда в изображения) коства $1.13 милиарда на рекламните мрежи.

Сайтът, за който става въпрос по-горе, е onlinevideoconverter.com. Услугата, която конвертира YouTube видеа в MP3 файлове, се ползва от над 200 милиона потребители всеки месец.

В случая комплекта за експлойт е вграден във фалшиво .GIF изображение чрез скрит JavaScript код. Този код води към сайт, който пренасочва потребителя към друг сайт. Там, посредством Flash обект, се предава зловредния код. Той се изпълнява на компютъра чрез PowerShell.

Може да видите маршрута на пренасочванията ето тук:

Тук може да видите как е скрит кодът в изображението:

А ето тук е кодът, който от Malwarebytes са успели да извлекат от картинката. Той дава ход на веригата от пренасочвания:

Ето и проблемния Flash обект:

Ето какво се случва чрез PowerShell:

Ако всичко мине наред, експлойтът е приложен успешно и следващата стъпка е заразяването на машината със Seon ransomware (забелязан за първи път в края на 2018-та). Файловете на компютъра биват криптирани, изисква се определено количество биткойни, за да бъде възстановен достъпът. Ако има налични скрити копия (Shadow Copies) за възстановяване на Windows, те биват изтрити. Появява се това:

Освен този рансъмуер, на компютъра пристигат още копачка за криптовалути и Pony –  гадинка, която краде информация. Така докато жертвите се чудят дали да платят поисканата сума, или не, хакерите успяват да изтеглят нужната им за допълнителни злоупотреби информация и да изкопаят малко криптовалута.

До сега GreenFlash exploit kit бе основно активен в рамките на Южна Корея. От Malwarebytes отбелязват, че той вече се разпространява активно в САЩ и Европа.

От ZDNet са се свързали с Online Video Converter за коментар, но за момента не са получили отговор.

Някои от вашите близки и приятели в България бил ли е жертва на ransomware атака? Как бихте реагирали, ако ви се случи? Имате ли нещо на компютъра, което би ви накарало да платите исканата сума?