Fertőzött hirdetésekkel támadtak több, millió látogatottságú oldalt
Ransomware-t és trójai kártevőket terjesztő hirdetések leptek el több, világszerte népszerű weboldalt az elmúlt napokban. A támadók egy hirdetőcég lejárt doménjét megvásárolva jutottak az oldalakra - a módszerrel új trend születhet az online bűnözők körében.
Kártékony hirdetések hada söpört végig több nagy kaliberű online portálon az elmúlt napokban, amelyek trójai kártevőkkel, illetve ransomware-ekkel fertőzhettek meg számos felhasználót. A kiterjedt "malvertising" kampányról több biztonsági cég, köztük a Trend Micro is beszámolt, a szakértők szerint abba 24 óra alatt több ezer felhasználó futhatott bele. A támadás jó eséllyel az Angler Exploit Kithez köthető - az online bűnözők által használt eszközkészlettel számos népszerű szoftver sebezhetőségei kihasználhatók, mint az Adobe Flash vagy a Microsoft Silverlight. A kompromittált hirdetési hálózatokon utazó támadás többek között a BBC, az AOL, az MSN és a The New York Times webolalát is érintette.
Az akcióra a TrustWave SpiderLabs biztonsági kutatói is felfigyeltek, akik szerint a támadóknak a kampányhoz sikerült megkaparintaniuk egy kisebb hirdetőcég, a BrentsMedia lejárt doménjét, amellyel hozzáférhettek a reklámokat közvetlenül publikáló vagy más hirdetési partnerhálózatokat használó, népszerű weboldalak forgalmához. A szakértők szerint a hirdetésekbe egy JSON fájl is bekerült, amely egy több mint 12 ezer soros, erősen titkosított JavaScript fájlra hivatkozott - a titkosítást visszafejtve kiderült, hogy utóbbi egy kiterjedt listát tartalmaz különböző biztonsági eszközökről és protokollokról, amely segítségével a támadók kiszűrhetik a célpontok közül a hatékony védelmet használó felhasználókat és biztonsági kutatókat, így elkerülve a lebukást.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
Ha a rosszindulatú kód nem találkozik a listán szereplő védelmi vonalak valamelyikével, az aktuális weboldal törzsébe egy iframe-et ágyaz, amely az említett Angler oldalára vezet - itt az áldozatokat egyszerre két malware, a Bedep trójai, illetve a TeslaCrypt ransomware is megfertőzi. A támadáshoz felhasználót BrentsMedia doménje idén január elsején járt le, azt idén március elején vette meg az új tulajdonos.
A kártékony hirdetések terjesztésében a SpiderLabs szakértői szerint legalább két partnerhálózatot is felhasználtak, ezek az adnxs és a taggify. Előbbi az esetről értesülve egy órán belül megtette a szükséges lépéseket, a taggify azonban nem jelzett vissza a kutatók felé. A Malwarebytes szerint ugyanakkor az érintett hálózatok között már az AOL, az AppNexus, a Rubicon, sőt a Google is ott van.
A szakértők szerint könnyen lehet, hogy egy egészen új trend van születőben az online bűnözők körében, amelyben a hasonló malvertising kampányokhoz legitim (vagy annak tűnő) hirdetőcégek lejárt doménjeit vásárolják fel, hogy feltűnés nélkül juttathassanak kártékony reklámokat népszerű weboldalakra. Ezt a feltevést látszik igazolni, hogy a SpiderLabs szerint már két újabb, az elmúlt napokban felvásárolt domén is a BrentsMediánál is látott kártékony webhelyek felé mutat.
A támadás jelenleg elsősorban a windowsos PC-ket fenyegeti, a hasonló veszélyek elkerülésére fontos, hogy mindig legyenek telepítve a rendszer, a böngésző, illetve az Adobe Flash, Microsoft Silverlight és hasonló kiegészítők aktuális frissítései - de a legjobb, ha a nem használt kiterjesztéseket egészen töröljük.