[You must be registered and logged in to see this image.]Доставянето на зловредна реклама или т.нар. „
малвъртайзинг” продължава да се развива. Свидетелство за това ни даватProofpoint и Trend Micro, които се натъкват на на мащабна малвъртайзинг кампания, която остава извън радара на защитната индустрия повече от година (Proofpoint споделят, че тя може да е активна още от 2013г.). Засегнатите от нея може да са хиляди, тъй като тя е атакувала повече от милион потребители дневно.
Малвъртайзингът отдавна не са банери за примамливи промоции, отвеждащи ви към зловредни страници, а
многоетапни кампании, които впрягат в своя полза слабостите на рекламните онлайн мрежи и начина им на функциониране, експлойт комплектите, нежеланието на интернет потребителите да обновяват софтуера и системите им и все по-сложните зловредни програми. И тук, както и в други сходни кампании е използван
drive-by download подход за доставянето на зловреден код, което означава, че потребителят не трябва да клика, където и да е, за да зарази системата си. Просто да посети страница, свързана с експлойт комплект, който автоматично анализира браузъра и системата и ако те са необновени, доставя експлойт за уязвимост, което води до последващо компрометиране на системата.
AdGholas, каквото име са дали на настоящата кампания, е първата подобна атака, използваща силата на стеганографията, за да скрие доставяния от нея зловреден код. Престъпниците са използвали и ред други техники, като например регистрирането на поддомейни на сайтове, защитени със сертификати на Let’s Encrypt, което имало цел доверяването на разпространяваните от тях зловредни реклами. Освен това, те са използвали дълъг списък на изключвани от атака системи, като например OEM-брандирани системи. Целите са им били профилирани с голяма надеждност, което е способствали за последвалото успешно компрометиране. AdGholas използва по неправомерен начин услугите на над 20 големи платформи, доставящи онлайн реклама, между които Yahoo.com, AdForm, Conversant Media, OpenX и др., предоставящи достъп от 1 до 5 000 000 високопрофилни реферала, т.е. хора, които с голяма вероятност кликат на реклами, като една пета от тях или 1 000 000 са били пренасочвани към зловредни страници. Тук личат имената на страници, като
zerohedge.com, nytimes.com, makeuseuseof.com, страниците на Marie Claire, новинарския агрегатор NewsNow,
PCMag и много други. Proofpoint са информирали засегнатите от атаките страни и в края на този месец атаката е била прекратена.
[You must be registered and logged in to see this image.]/kaldata.com