Рекламные объявления на YouTube перенаправляли пользователей на сайты, содержащие набор эксплоитов Styx.
Дроповоды использовали рекламную сеть YouTube для распространения банковского бота Caphaw. Об этом сообщают эксперты компании Bromium Labs. По их словам, рекламные объявления YouTube In-Stream перенаправляли пользователей на web-сайты, которые содержали связку сплоитов Styx.
Дроповоды использовали рекламную сеть YouTube для распространения банковского бота Caphaw. Об этом сообщают эксперты компании Bromium Labs. По их словам, рекламные объявления YouTube In-Stream перенаправляли пользователей на web-сайты, которые содержали связку сплоитов Styx.
Эти страницы использовали уязвимости, существующие на системах клиентов банков, посредством осуществления атак типа drive-by-download, что позволяло заражать компьютеры вирусом Caphaw. После установки на систему банковский бот идентифицировал версию Java, на основе которой запускал подходящий сплоит.
Стоит отметить, что пока экспертам компании не удалось установить способ, который использовали дроповоды для обхода внутренней проверки рекламы Google. По словам представителей последней, специалисты поискового гиганта изучают инцидент, а затем примут соответствующие меры.
По данным Bromium Labs, для соединения с C&C-сервером банковский бот использует алгоритмы создания доменных имен (Domain Generation Algorithm, DGA). Контрольный сервер троянского вируса находится на территории Европы. Важно также, что уже несколько антивирусных компаний отметили Caphaw как «вредоносный».
Количество пользователей банковских услуг, у которых уже таким способом скачали деньги с банковских счетов, пока неизвестно. Стоит также отметить, что уязвимость в Java, которую эксплуатируют дроповоды, Oracle исправила еще в прошлом году.
