[You must be registered and logged in to see this image.]Още миналата година стана ясно, че доставянето на зловредна реклама (малвъртайзинг) е индустрия за милиард долара. Киберпрестъпни групи се възползват от слабостите на ексосистемата на онлайн рекламната индустрия и недостатъчната информираност и пренебрегване на основни правила от потребителите, за да доставят и заразяват хиляди системи годишно. Едно от най-притеснителните неща тук е, че за разлика от миналото, когато зловредната реклама беше поднасяна като измамен банер, който трябваше да бъде кликнат и да бъде посетена външна страница, днес киберпрестъпниците използват високата интерактивност на технологиите в Мрежата и доставят код, който попада в системата просто с посещаване на страницата, на която е показано рекламното поле чрез т.нар.
drive-by download атаки. Това не важи за посетители, които изпълняват съветите за базисна компютърна сигурност, но за съжаление много хора просто не се интересуват от тях. Тези дни дойде новината за нов метод за доставяне на зловреден код посредством онлайн реклама. Вместо да използват браузъра, като вход към системата,
цел на престъпниците са рутерите. За това съобщават Bleeping Computer, цитирайки доклад на Proofpoint.
[You must be registered and logged in to see this image.]Престъпниците автоматизират своята дейност посредством комплекта за експлоатиране на уязвимости DNSChanger EK, което им помага да достигнат по-лесно до възможно по-голям брой жертви. В началото те купуват реклама, която да доставят на съвсем легитимни страници. Те успяват да вмъкнат в представяните на страниците рекламни блокове JavaScript код, който отправя WebRTC заявка към STUN сървъра на Mozilla, за да определят локалния IP адрес на потребителя. Това може да покаже дали жертвата използва локална мрежа, управлявана от домашен рутер и ако е така, продължават с атаката. В противен случай, тя спира дотук и пред него се представя „чист“ рекламен блок. На потребителите, които обаче отговарят на условието за провеждането на атака се представя зловредна атака, която ги отвежда към страница, която е дом за DNSChanger EK. Следва изпращане на потребителя на изображение, което съдържа AES ключ вграден във фотография, посредством методите на стеганографията.
Зловредната реклама използва този ключ да декриптира последвалия трафик, идващ от експлойт комплекта. Криптирането се използва от мошениците, за да не могат специалисти по инфозащита да пресекат действията им.
След получаването на криптиращия ключ, експлойт комплектът изпраща на всяка от жертвите списък с „отпечатъци“ на рутера, обясняват от Proofpoint. Те биват използвани за профилиране на устройството, след което атакуващата страна получава събраната информация. DNSChanger EK, от своя страна изпраща пакет с експлойти за известни уязвимости в устройството, които могат да поемат контрол над него и променят DNS настройките му, който пренаправлява трафика от и към него през сървърите на престъпниците. В споменатите пакети се съдържа освен експлойти и списък с известни им фабрични администраторски данни за вписване, което позволява пълния контрол над рутера. Всичко това се случва за секунди, уточняват Proofpoint, посредством зловреден iFrame.
Веднъж поели контрол над устройството, престъпниците успяват да заменят легитимните реклами по страниците на сайтовете, които биват посещавани от потребителите със зловредни. Освен използването на рутера, като основна цел на атаката, друго, което отличава настоящата кампания от регистрираните досега е, че докато в почти всички случаи засегнатия браузър е Internet Explorer,
тук мишена е Google Chrome. Става дума, както за десктоп версията, така и за мобилната. Сред засегнатите рекламни доставчици и аналитически мрежи, чиито платформи са използвани в атаката, личат имената на AdSupply, OutBrain, Popcash, Propellerads и Taboola.Researchers. Все още не е ясен пълният списък с атакуваните устройства, но дотук са проведени атаки към устройства на Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel. Повече за атаките може да разберете тук.
От Proofpoint отбелязват, че единственият начин жертвата на подобна атака да се избави от щетите и възможните последствия е да обнови фърмуера на устройствата. Те отбелязват, че настоящата кампания няма общност със зaсечените наскоро атаки към устройствата на Netgear.
/kaldata.com
Portal 
Индекс 
Последни снимки 
Регистрирайте се 
Вход 
