Дві нові рекламні кампанії в Інтернеті організували кіберзлочинці. Одна з них – широкомасштабна кампанія з розповсюдження експлойт-набору (EK), розроблена для того, щоб обійти традиційні захисні засоби такі, як блокатори оголошень, а інша використовує веб-переадресації для відбору та націлювання на користувачів Mac. Про це пише сайт Threatpost.
За словами представників Cisco Talos, кампанія RIG EK поширюється через заражену панель інструментів, яка завантажується під час встановлення пакетного програмного забезпечення. В іншій кампанії дослідники Cisco виявили сайт, який перенаправляє веб-переглядач Safari на домен, який доставляє шкідливий інсталятор Flash Player.
“Інтернет-реклама – це дуже складна і багатошарова система, яка дозріла до зловживань”, – заявили дослідники у звіті у середу. – Це питання, яке не повинно ігноруватися громадськістю, оскільки ці шкідливі рекламні кампанії можуть доставляти зловмисне програмне забезпечення буквально з нізвідки і обманювати традиційних користувачів Інтернету, які можуть не знати про загрози, які існують на деяких сторінках.”
Кампанія RIG EK
У поточній кампанії RIG EK злочинці за допомогою реклами маніпулюють людьми, які шукають програмне забезпечення для забезпечення безпеки в Інтернеті.
“Швидкий пошук в Інтернеті може призвести до найрізноманітніших результатів – від законних і дорогих до майже законних, але безкоштовних”, – пояснили дослідники Cisco Talos. – Один з таких результатів може призвести до переходу на сайт, наприклад, USB Guardian. USB Guardian стверджує, що це програмне забезпечення, розроблене для запобігання зараження вірусами-червами та сканування USB-пристроїв. “
Однак все не так, як здається. Коли користувач завантажить USB Guardian, також буде встановлена панель інструментів з іронічною назвою “Найкращі поради щодо безпеки”. Панель інструментів є джерелом шкідливих програм.
Дослідники Talos заявили, що панель інструментів ініціює серію веб-запитів одразу після встановлення. Перший запит – до рекламної мережі під назвою “щоденні оголошення”.
“Панель інструментів змінить домашню сторінку веб-переглядача та пошукову систему за замовчуванням, дозволяючи злочинцям змінювати результати пошуку та інші дії для просування шахрайства з натисканням і надмірної реклами, що може призвести до більш згубних результатів, включаючи зараження шкідливим програмним забезпеченням”, – стверджують у Talos. – Ці зміни дозволяють рекламним мережам пересувати вміст у кінцеві системи з більш високою ефективністю.”
Врешті-решт, запит на отримання доставляється до сайту ww7.dailyads [.] Org, який містить заголовок під назвою “X-Adblock-Key”. Цей заголовок містить ключ API, який дозволяє щоденним оголошенням обходити один з найпопулярніших блокаторів реклами, як виявили дослідники Talos.
“У багатьох випадках цей блокатор оголошень – єдине, що не дозволяє користувачеві показувати шкідливу рекламу”, – зазначили у Cisco Talos. – Отже, наявність цього ключа означає, що принаймні один з найбільших блокаторів оголошень не зупинив би показ цих оголошень користувачеві. Зрештою, користувач виявиться [на сторінці, контрольованій RIG EK]… і врешті-решт йому підсунуть невиправлену вразливість Adobe Flash або Internet Explorer, щоб доставити якусь шкідливу програму ”.
Така кампанія вразила широкий спектр різних сайтів у різних сферах: від новин до дизайну, музики, гонок та популярної культури. Дослідники Cisco Talos зазначили, що спостерігали сайти із шкідливою рекламою у топ-5000 веб-сайтів за рейтингом Alexa.
Зловживання рекламою – привабливий вектор атаки для зловмисників, які використовують експлойти, головним чином тому, що він пропонує великий потенційний пул жертв порівняно з іншими способами. Під час використання зламаного або спеціально створеного веб-сайту для експлойтів пул жертв обмежується лише людьми, які переходять на цей веб-сайт. На противагу цьому, використовуючи шкідливе рекламування, зловмисники можуть вражати значно більший масив різних жертв у різних місцях.
Наприклад, Talos знайшов докази того, як сайти в топ-100 рейтингу Alexa були побічно пов’язані з цією рекламною кампанією.
“Вони часто починаються із спонсорського контенту, посилань, які зазвичай відображаються на різних високорейтингових сайтах, що посилаються на інші, менш рейтингові веб-сторінки”, – пояснили дослідники. – Ми знайшли кілька прикладів, коли користувача направляють на сайт, який входить у топ 50 за рейтингом Alexa, включаючи деякі з найбільших новинних сайтів в Інтернеті. Потім користувач буде натискати на якийсь спонсорований контент, “по приколу” чи випадково. Потім користувач переходить на новий веб-сайт, поза межами топ-50 Alexa, наприклад, щось із топ-10 000 Alexa. Потім на цих сайтах з’являться шкідливі оголошення”
Кампанія з паркування домену
У другій кампанії, поміченій у червні, Talos виявив веб-сайт, який перенаправляє веб-переглядачі Safari на домен, який доставляє зловмисний підроблений інсталятор Flash Player. Зловмисники використовують загальну службу під назвою “парковка домену” для активізації своєї кампанії.
“Такі люди не чекають, коли користувач натисне оголошення, щоб згенерувати дохід, а беруть доброякісний трафік, який у випадку якоїсь помилки перенаправить її в свою рекламну мережу, виступаючи видавцем реклами”, – пояснили у Cisco Talos.
Цей так званий “трафік з нульовим клацанням” продається на ринках збуту, де власник домену може придбати трафік і направити його на свій домен.
“Користуючись послугою паркування, користувач може вказати категорію домену, яка впливає на встановлення ставок, цільовий браузер користувача, операційну систему, геолокацію, а в деяких випадках і вік та демографічні показники особи, яка переглядає оголошення”, – пояснили дослідники.
На час розслідування на початковому домені розміщувались послуги паркування у хмарного постачальника послуг у Литві. Cisco Threat Grid налічує майже 700 зразків зловмисного програмного забезпечення з оцінкою загрози 95 або вище, пов’язаного з хостом, який протягом багатьох днів приймав сотні доменів. Дослідники виявили, що за тиждень на одній ІР-адресі було “припарковано” 87 доменів.
“Під час нашого розслідування ми виявили, що найчастіше, і, уникаючи ліміту частоти запитів на стороні сервера, браузер Safari буде переспрямований через низку сайтів, врешті-решт, “приземлившись” у фальшивому інсталяторі Flash Player”, – написали вони, зазначивши, що користувачі будуть перенаправлені приблизно сім разів, щоб дістатися туди.
Якщо користувач намагатиметься завантажити фальшивий інсталятор, система заразиться відомим фрагментом багатокомпонентного зловмисного програмного забезпечення під назвою “Shlayer”
“Цифрова реклама – це одне з найбільших полів битви на ландшафті загрози для прискорених атак, що передають шкідливий вміст по всьому світу”, – зазначили дослідники. – І підприємства, і споживачі повинні бути готовими і приймати рішення про те, наскільки активно вони хочуть щось блокувати. Однак це унікальна проблема, оскільки існує ризик усунути великі масиви безкоштовного контенту в Інтернеті, а також стає важче отримувати прибуток від цього вмісту. Це лише кілька основних питань, з якими ми будемо змушені рахуватися протягом наступних кількох років”.
Нагадаємо, що дослідники з Дармштадтського технічного університету (Німеччина) проаналізували роботу протоколу Apple Wireless Direct Link (AWDL), реалізованого в більш ніж 1,2 млрд пристроїв Apple, і виявили уразливості, експлуатація яких дозволяє зловмисникам відстежувати користувачів, викликати збій в роботі пристроїв або перехоплювати файли, передавання даних між пристроями за допомогою атак посередника (MitM).
Також стало відомо про нове сімейство програм-вимагачів, що атакує пристрої під управлінням Android. Після інфікування пристрою зловмисники відправляють SMS-повідомлення зі шкідливими посиланнями контактам жертви.