Два піратських сайти, що пропонують користувачам послугу безплатного перегляду відеоконтенту – фільмів, телешоу тощо, виявилися пов’язаними із майже мільйоном випадків зараження ПК та інших пристроїв вірусами. Про це повідомили представники команди служби безпеки Microsoft у своєму звіті від 6 березня.
Спеціалісти розповіли, що рекламна кампанія, що перенаправляла користувачів до зловмисного програмного забезпечення через клікабельні оголошення на піратських відеосервісах, вразила тисячі девайсів по всьому світі. Служба безпеки Microsoft відстежила «інфекцію» до двох доменів movies7[.]net та 0123movie[.]art. Реклама на цих сайтах скеровувала користувачів на шахрайські сайти технічної підтримки, які вже перенаправляли жертв на сторінки Discord, Dropbox і GitHub, де й містилося шкідливе ПО. В компанії не пояснили, як саме виглядали посередницькі сайти зловмисників. Але, ймовірно, вони спонукали користувачів до завантаження певних програм, що містили приховані віруси, направлені на викрадення приватної інформації або навіть віддалене захоплення пристрою.
Під час атаки зловмисники намагалися приховати шкідливу природу завантажуваного контенту через надання під час первинного завантаження реальних сертифікатів програмного забезпечення та навіть певного обсягу легітимних файлів. Згідно з повідомленням Microsoft, станом на січень 2025 року було ідентифіковано, що зразки ПЗ були підписані з використанням цифрового сертифіката, створеного нещодавно. Згодом експерти виявили 12 таких сертифікатів та відкликали їхню дію. Мета атаки полягала у дозволі вторинного завантаження файлів, під час котрого ПК заражався вірусом, який збирав на пристрої потенційно чутливу інформацію та пересилав її на сервер зловмисника. До того ж у процесі на девайс встановлювалися додаткове шкідливе ПЗ, з допомогою котрих хакери могли стежити за діяльністю користувача під час використання браузера та взаємодіяти з активним екземпляром переглядача.
Microsoft вперше зафіксували атаку на початку грудня. Виявилося, що атака не була вибірковою, адже віруси вразили широкий спектр користувачів, включно із корпоративними та споживчими пристроями. В компанії стверджують, що вбудований антивірус Microsoft Defender може виявляти та знешкоджувати віруси, що використовувалися в цій атаці. GitHub, Discord та Dropbox вже відреагували, видаливши сторінки, де було розміщене шкідливе програмне забезпечення.