Хакеры создали 28 липовых рекламных агентств для отмывания денег

Киберпреступная группировка открыла 28 поддельных рекламных агентств и купила более 1 миллиарда просмотров рекламы в 2017 году. Эти ресурсы хакеры использовали для размещения вирусной рекламы, которая перенаправляла пользователей на мошеннические сайты. По расчетам экспертов, вредоносная кампания под кодовым названием Zirconium началась еще в прошлом феврале.

Детали операции

У каждого фальшивого рекламного агентства были собственный сайт и даже CEO с профилем на LinkedIn. Единственной целью этих ресурсов было обеспечение взаимодействия с более крупными рекламными платформами, чтобы создать впечатление легального бизнеса.

Липовые агентства покупали рекламу, которая отображалась на законных сайтах через эти рекламные платформы. Клик по баннеру запускал JS-код, активировавший «вынужденную переадресацию», быстро перенаправляя пользователей с оригинального сайта на промежуточный домен. На этом домене фиксировался и классифицировался входящий трафик, после чего пользователя снова перенаправляли на другой домен, также принадлежавший Zirconium. Пришедший на третий домен трафик мошенники перепродавали.

Confiant (компания, раскрывшая схему) сообщает, что жертвами мошеннической аферы стали более 2,5 миллионов пользователей, 95 % из которых находились в США. Эксперты назвали эту программу самой масштабной рекламной атакой 2017 года.

Примечательно, что злоумышленники специализировались именно на ПК (без различия в операционных системах), полностью игнорируя мобильный трафик. Специалисты обнаружили, что хакеры использовали только 20 из 28 фальшивых сайтов, остальные же находились в спящем режиме.