Malvertajzing kampanja neprimećena tri nedelje, milioni posetilaca sajtova izloženi riziku od infekcije

Vesti, 17.09.2015, 10:30 AM

Maliciozni oglasi obično budu otkriveni posle nekoliko dana, ali jedna malvertajzing kampanja otkrivena nedavno uspela je da ostane neprimećena skoro tri nedelje kada su je najzad otkrili istraživači iz kompanije Malwarebytes. To je bilo dovoljno vremena da desetine miliona korisnika budu izloženi riziku od infekcije računara.

Odgovorni za ovaj malvertajzing (maliciozno oglašavanje) smislili su lukav plan - predstavljali su se kao legitimni oglašivači i koristili nevidljive i napredne tehnike da bi sakrili maliciozna preusmeravanja i to radili tako dobro da su uspeli da izbegnu većinu sistema za detekciju.

Krajnji cilj ovog plana je bio krompomitovanje miliona računara posetilaca popularnih web sajtova prikrivenim preusmeravanjem browsera na exploit alat Angler, najnapredniji alat ove vrste koji se koristi u drive-by download napadima.

Kriminalci su se registrovali na različitim platformama predstavljajući se kao pravi oglašivači i dostavljali svoje “čiste”, ali lažne oglase preko Real Time Biddinga.

Kompanije koje su oni predstavljali izgledale su legitimno na prvi pogled, sa web sajtovima registrovanim pre nekoliko godina.

Ovaj mamac je bio dovoljno dobar da prevari mnoge oglasne mreže sa direktnim vezama sa velikim mrežama koje su glavne u biznisu online oglašavanja.

Oglasi su učitavani direktno sa web sajtova lažnih oglašivača i to je bio deo problema u kompromitovanju oglašivačkog lanca. Sami oglasi nisu ukazivali na bilo šta sumnjivo. Vlasnici web sajtova koji su prikazivali ove oglase nisu znali da je njihova oglasna mreža dozvolila da ovi oglasi budu isporučivani sa servera malicioznih oglašivača, preko kriptovane HTTPS konekcije.

Na taj način, maliciozni oglašivači su mogli da maskiraju svoj saobraćaj, i da koristeći kombinaciju nekoliko preusmeravanja i skraćenih linkova odvedu neke od posetilaca web sajtova na stranicu sa exploit alatom Angler, i inficiraju njihove računare.

Maliciozni oglasi su se našli na mnogobrojnim web sajtovima, između ostalih i na sajtovima ebay.co.uk, answers.com, drudgereport.com, wowhead.com, ehowespanol.com, legacy.com, newsnow.co.uk, manta.com i na mnogobrojnim pornografskim sajtovima.

Ovi sajtovi imaju mesečno oko 487,4 miliona poseta, tako da je ova kampanja sa malicioznim oglasima jedna od najvećih, ako ne i najveća kampanja ove godine.

Najviše inficiranih računara je iz SAD (46%), a zatim iz Velike Britanije (36%), Australije (6%), Kanade (6%) i Poljske (6%).

Iako je malvertajzing solidno medijski propraćen poslednjih meseci, istraživači iz kompanije Malwarebytes kažu da su dokumentovani napadi samo vrh ledenog brega i da ima kampanja koje su toliko sofisticirane da ih niko nikada neće ni videti ni čuti, čemu se upravo nadaju oni koji stoje iza ovakvih kampanja.

“U ovoj igri mače i miša, inicijatori će uvek imati prednost”, kažu iz Malwarebytes objašnjavajući da će kriminalci uvek imati mogućnost da distribuiraju malver pre nego što budu razotkriveni.

Oglasne mreže koje su korišćene u ovoj kampanji (DoubleClick, AppNexus, ExoClick i druge), obaveštene su o ovome i one su preduzele neophodne korake da zaustave kampanju.

Iz Malwarebytes podsećaju korisnike da je neažuriran softver razlog broj jedan infekcija preko web exploita i glavni razlog zbog čega je za sajber kriminalce malvertajzing izuzetno održiv mehanizam infekcije.