В ході операції, що почалася 11 січня поточного року, зловмисники розповсюджують шкідливе ПЗ Shlayer через рекламне зображення. Шкідливий код вбудовується безпосередньо в зображення за допомогою стеганографії - методу, який вже не раз використовувався кіберзлочинцями для поширення шкідливого ПЗ.

Shlayer є шкідливим ПЗ на JavaScript, що завантажується на комп'ютер жертви після того, як натиснули на рекламу. Троян маскується під оновлення для Flash Player і перенаправляє користувачів на встановлення рекламного ПЗ. Тобто, він діє і як троян, і як дроппер. В результаті, заражені комп'ютери починають працювати набагато повільніше, а користувачам пропонується купити непотрібні програми.

Наразі дослідники виявили 191 970 шкідливих реклам, загальний збиток від яких склав близько $ 1,2 млн. За їх словами, кіберзлочинці орудують вже кілька місяців, але тільки недавно стали впроваджувати шкідливе ПЗ в рекламні зображення.

Shlayer був вперше виявлений в лютому 2018 року дослідниками компанії Intego. Троян поширювався через BitTorrent-трекери, а його головною функцією було встановлення додаткового ПЗ на систему, що атакується. Оскільки ПЗ маскувався під оновлення для Flash Player, у жертв не виникало ніяких підозр.

Шкідлива кампанія все ще продовжується, проте кіберзлочинці регулярно змінюють корисне навантаження й домени. Хто саме стоїть за атаками, поки невідомо. Дослідники з Confiant дали кіберзлочинному угрупованню умовну назву VeryMal по одному з використовуваних доменів (veryield-malyst [.] com)