Исследователи Malwarebytes сообщают об обнаружении вредоносной кампании, связанной с продвижением нового браузера Arc в качестве приманки для заражения пользователей вредоносным ПО с использованием рекламных инструментов.

Разработчики The Browser Company из Кремниевой долины с шумихой зашли на рынок в качестве стартапа и в июле 2023 года представили свой браузер Arc для MacOS, а версию для Windows выпустили всего пару недель назад.

Продукт получил многочисленные восторженные отзывы, а ажиотаж не остался без внимания со стороны киберпреступников, которые оперативно запустили вредоносную рекламу в Google.

Внимательно изучив размещенные объявления с помощью Центра прозрачности рекламы Google, ресерчеры смогли связать их с рекламодателем из Украины «ПРИВАТНЕ ПІДПРИЄМСТВО «САЛОН "СОФТ».

Злоумышленник также зарегистрировал доменные имена, на которые перенаправлялись жертвы. Шаблон даже включал в себя некоторые заголовки новостей, посвященные выпуску Windows.

Загружая Arc для Windows с их сайтов, доставляется вредоносное ПО. При этом злоумышленник задействовал уникальный способ его упаковки своего, который раньше еще не встречался.

Основной установщик (ArcBrowser.exe) - это исполняемый файл, который содержит два других исполняемых файла. В качестве приманки один из них - установщик Windows для легального Arc.

В фоновом режиме Arc.exe связывается с облачной платформой MEGA через API разработчика, которая используется в качестве сервера С2 для отправки и получения данных.

Первый запрос аутентифицирует злоумышленника (используется одноразовый адрес электронной почты из yopmail). За ним следует серия запросов и ответов, которые закодированы, предположительно, с пользовательскими данными.

Далее идет запрос к удаленному сайту на загрузку полезной нагрузки следующего этапа, при выполнении которой задействуется поддельное изображение PNG, скрывающее вредоносный код.

Далее получается еще одна полезная нагрузка, сбрасываемая на диск как JRWeb.exe. Кроме того, была замечена и другая версия boostrap.exe, которая не извлекала файл PNG, использующая исполняемый файл Python для внедрения кода в MSBuild.exe, как и предыдущая.

Впоследствии вредоносная программ запрашивает через https://textbin[.]net/raw/it4ooicdbv (с более 4,5 просмотров, начиная с февраля) вредоносный IP-адрес (предположительно, другого сервера С2) и по итогу доставляет стилера.

Мы в VK: https://vk.com/darkwebex