Рекламные плагины браузера используются для распространения загрузчика LegionLoader

Специалисты Лаборатории Касперского обнаружили новую вредоносную кампанию, которая использует загрузчик Satacom ( LegionLoader ), для распространения вредоносного расширения для браузера, предназначенного для кражи криптовалюты.

Появившийся в 2019 году загрузчик Satacom известен тем, что использует запросы DNS -сервера для получения вредоносного ПО следующего этапа из другого семейства ВПО, связанного с Satacom. Satacom распространяется через сторонние веб-сайты, иногда используя легитимные рекламные плагины для внедрения вредоносной рекламы на веб-страницы.

По данным Лаборатории Касперского, основная цель вредоносного ПО, доставляемого загрузчиком Satacom, — кража биткоинов (BTC) со счетов жертв путём установки расширения в браузер на основе Chromium, которое взаимодействует с сервером управления и контроля (C2-сервер).

Расширение использует различные сценарии JavaScript для управления браузерами пользователей при просмотре целевых сайтов криптовалюты. ВПО также может настраивать внешний вид почтовых сервисов, таких как Gmail, Hotmail и Yahoo, чтобы скрыть свою активность.

Первоначальное заражение происходит, когда пользователь загружает ZIP-архив с поддельного сайта ПО, содержащий легитимные DLL-библиотеки и вредоносный EXE-файл «Setup.exe».

Вредоносное ПО распространяется через различные типы веб-сайтов, некоторые из которых содержат жестко запрограммированные ссылки для скачивания, а другие внедряют обманчивую кнопку «Скачать» с помощью легитимных рекламных плагинов. «Лаборатория Касперского» подчеркнула , что для доставки вредоносного ПО Satacom использовался рекламный плагин QUADS.

После запуска вредоносная программа использует методы внедрения процессов ( Process injection ), чтобы избежать обнаружения антивирусными программами. Эксперты по безопасности заявили, что динамичный характер вредоносной кампании затрудняет обнаружение и работу по смягчению последствий.

На основе данных телеметрии Лаборатории Касперского, кампания ориентирована на отдельных пользователей по всему миру. В течение первого квартала 2023 года Бразилия, Алжир, Турция, Вьетнам, Индонезия, Индия, Египет и Мексика были странами с самой высокой частотой заражения.

Пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения из ненадежных источников и своевременно обновлять антивирусное ПО для защиты от подобных угроз.