RoughTed: Maliciozni oglasi prolaze blokadu ad blockera

Vesti, 30.05.2017, 01:00 AM

Ad blockeri, na kojoj mnogi temelje svoju odbranu od malicioznih oglasa, izgleda da nisu izvršili svoj zadatak bar u jednom slučaju na koji je ukazala kompanija Malwarebytes.

Kampanja sa malicioznim oglasima (malvertajzing) nazvana RoughTed traje više od godinu dana a istraživačima iz kompanije Malwarebytes bila je zanimljiva zbog toga što uspešno zaobilazi ad blockere, isporučujući maliciozni payload.

Kampanja je veoma kompleksna i dobro osmišljena. Kriminalci koji stoje iza nje koriste brojne trikove, od kojih je većina omogućila da kampanja toliko dugo ostane neprimećena.

Raznolikost je reč koja najbolje opisuje ovu kampanju.

Saobraćaj do ove maliciozne kampanje dolazi od oglasa prikazivanih na hiljadama sajtova. Neki od njih su mali, lični sajtovi, dok su drugi sajtovi sa Alexa Top 500. Maliciozni oglasi iz ove kampanje otkriveni su na sajtovima kao što su Adf.ly, ExtraTorrent (koji sad ne radi), Openloud i Ouo.io.

RoughTed domeni imali su preko pola milijarde posete u poslednja tri meseca od kada su istraživači počeli da prate ovu kampanju.

Istraživači iz kompanije Malwarebytes koji su pratili ovu kampanju zajedno sa kompanijom Sucuri, kažu da su identifikovali maliciozne oglase i u izvornom kodu manjih sajtova. Maliciozni oglasni kod u izvornom kodu sajtova postavljali su ili sami vlasnici sajtova ili bi taj kod bio postavljen na hakovanim sajtovima.

Maliciozni kod u lažnim oglasima učitava različite skripte u pozadini browsera, koje preumeravaju korisnike prema desetinama URL-ova gde se vrše različite provere.

Kriminalci koji stoje iza ove kampanje koriste veoma agresivne "otiske prstiju" koje većina oglasnih mreža ne bi koristila jer narušavaju privatnost korisnika. To uključuje provere tipa browsera, operativnog sistema, postavki jezika, i informacija o lokaciji. Neke od skripta koje se koriste u kampanji detektuju kada korisnici lažiraju svoj user-agent.

Najzanimljivija je skripta koja je detektovala da li korisnik koristi ekstenziju za blokiranje oglasa, tražeći način da se izbegne ovaj sistem.

Korisnici nekoliko ad blockera kao što su Adblock Plus, uBlock origin i AdGuard nedavno su se i žalili na reklame koje su uspele da prođu blokadu njihovih ad blockera.

Istraživači ove oglase povezuju sa RoughTed kampanjom, mada i drugi malvertajzeri koriste tehnike zaobilaženja ad blockera.

I dok se oni koji proizvode ad blockere zauzeti borbom protiv oglašivača i online izdavača, malvertajzeri su uspeli da se uvuku iza njihovih leđa i nadmudre tehnologije ad blockera.

Operateri RoughTed kampanje nisu fokusirani samo na jedan payload, već distriburiraju različite exploit alate (RIG, EG, Magnitude), stranice sa lažnom tehničkom podrškom, stranice za preuzimanje Mac adwarea, stranice za preuzimanje potencijalno neželjenih programa (PUP) za Windows, lažne ekstenzije za Chrome, iTunes i App Store stranice, i dosadne online ankete.

Više o ovoj kampanji možete naći na blogu kompanije Malwarebytes.