На самом деле ссылка с баннера вела на поддельный веб-ресурс, с которого пользователь подвергался атаке, начинавшейся с появления «синего экрана смерти», или BSOD (Blue Screen of Death). Пользователю предлагалось в объявлении на «сбойной заставке» обратиться к техподдержке Microsoft, но по указанному телефону. Позвонившим псевдотехники «впаривали» от имени Microsoft дорогое и бесполезное ПО. Не забывали хакеры, конечно, и похищать из ПК персональные данные.
Впервые о новой фишинговой схеме, в ИБ-компании Malwarebytes Lab узнали 29 сентября, когда разбирались с обращениями пользователей о неожиданно появлявшихся — при переходе по ссылке на страницу YouTube — BSOD. Исследованием инцидента занимался ведущий ИБ-специалист компании Джером Сегура, который смог выяснить, что креативно мыслящие интернет-мошенники прибегли к новому способу выманивания денег у пользователей с помощью рекламных объявлений Google AdWords и фальшивых BSOD.
К слову сказать, в фишинговых схемах хакеров эмуляция известных веб-ресурсов — обычное дело. Вот и совсем недавно — с середины августа — злоумышленники для кибератак целенаправленно используют подделки таких сайтов, как eBay, MSN, eHow, Yahoo и на Wowhead Answers.com. Ничего нового — и даже тривиально. А вот обнаруженная Сегура хакерская схема была необычна, прежде всего, тем, что для сетевой атаки официально имела привязку к поисковой машине Google и вредоносные рекламные баннеры YouTube при навдении курсора вели себя как обычные, демонстрируя даже реальное превью роликов...
Схема киберпреступников имела несколько стадий. На первом этапе злоумышленники через подставных лиц оформляли с Google AdWords — рекламной службой интернет-гиганта — договор о баннерной и информационной поддержке определенных веб-ресурсов, а также о покупке рекламы для разнообразных популярных ключевых слов в поисковом формате AdWords. Один из пунктов договора даже предусматривал использование слова «YouTube», что гарантировало появление оплаченных ссылок в «топ» поисковой выдачи. Примечательно, что указанный в соглашении URL действительно принадлежал легитимному ресурсу YouTube. На втором этапе уже был задействован механизм атаки, который начинался сразу после клика пользователя по ссылке баннера. Таким образом, осуществлялся переход на убедительно сделанный фальшивый ресурс. Вместо ожидаемого ролика в ПК возникал BSOD, который также являлся убедительной эмуляцией настоящего «сбойного экрана» Windows.
Как отметили в компании Malwarebytes Lab, тот факт, что злоумышленники придумали такой ход с BSOD, лишний раз подтверждает инновационность и изобретательность современной киберпреступности. Джером Сегура в своем блоге прокомментировал это так: «хакеры проделали большую работу, ведь их URL фальшивых роликов действительно выводили на YouTube, — и, даже наведя курсор мыши на видео, можно было видеть превью, — так что заподозрить неладное было достаточно сложно».
На третьей стадии пользователю предлагали оплатить ненужное ПО и одновременно похищали из ПК конфиденциальные данные, включая ключи к банковским аккаунтам. На появившемся в начале атаки «полотне» BSOD пользователь мог прочитать, что его система находится в опасности, и — во избежание потери данных — предлагалось обратиться по бесплатной горячей линии в службу техподдержки Microsoft.
На звонок по указанному номеру отвечал агент мошенников, который, нагнетая ситуацию, в итоге, «впаривал» дорогостоящие и бесполезные решения стоимостью от $199 до $599. Примечательно, что покупка ПО обставлялась как «рекомендация» Microsoft. Естественно, хакеры не забывали и похищать из ПК жертвы конфиденциальные данные, нередко включая и ключи от банковских аккаунтов. 30 сентября 2015 года компания Malwarebytes официально уведомила Google о проводимой с помощью поисковой платформы вредоносной рекламной кампании. И в тот же день, все поддельные объявления были выявлены и заблокированы. Но гарантии, что хакеры не попробуют использовать такую же схему на других поисковиках, нет.
.png)