Malvertising je mezi útočníky stále oblíbenější

Když jsem před třemi lety poprvé psal o malvertisingu, tak se zrovna nejednalo o moc používanou techniku, dnes je tomu ale zcela jinak.

V posledních měsících se s touto technikou setkáváme poměrně často a mezi oběťmi jsou už i uživatelé z ČR.

S reklamou, která návštěvníky přesměrovávala na stránky se škodlivým kódem, jsme se mohli setkat i na takových stránkách jako je amazon.com, youtube.com, java.com, yahoo.com, winrar.com, tmz.com, photobucket.com, deviantart.com, apps.facebook.com, wiki.answers.com, theguardian.com a spoustě dalších.

Samotný útok je nicméně pořád stejný, dojde k napadení systému společností, které se starají o dodávání reklamního obsahu hojně navštěvovaným webům a podstrčení takového reklamního obsahu, který návštěvníky přesměrovává na weby se škodlivým kódem.

V některých případech je zneužíváno nějaké zranitelnosti v aplikaci jako je Flash Player, Microsoft Silverlight nebo Java. Tak tomu bylo např. i koncem srpna, kdy byl do reklamního sdělení začleněn Angler exploit kit, který zranitelností v těchto aplikacích zneužíval, schematicky je to krásně znázorněno zde.

V jiných případech ani žádných zranitelností zneužíváno není, a útočník využívá technik sociálního inženýrství, a spoléhá na to, že poté co se po přesměrování začne stahovat legitimní aplikace, tak že si ji uživatel i nainstaluje. Tak tomu bylo např. v případě útoku nazvaného „Kyle and Stan“, který začal již někdy v květnu a jehož detailní popis najdete zde.

Na tomto posledním případu je zajímavé především to, že na základě user agent stringu došlo k rozlišení, o jaký OS se jedná, a podle toho je uživateli podstrčena legitimní aplikace se zkompilovaným škodlivým kódem. Cílem útoku tak byli jak uživatelé Windows, tak i MacOS.

Ve většině případů je však zneužíváno zranitelností v aplikacích třetích stran jako je Flash, Adobe Reader, JAVA a IE, kdy exploit ukrytý v reklamních bannerech a zobrazovaný na důvěryhodných a hodně navštěvovaných webech zneužívá nějaké kritické zranitelnosti. A nemusí se jednat jen o zero-day zranitelnosti.

Je třeba si uvědomit, že jakýkoliv poskytovatel, ale i zprostředkovatel reklamního obsahu, tedy i společnost Google, se může stát obětí útoku, spočívajícího v modifikaci nebo vložení škodlivého kódu do reklamního banneru, který se nijak neliší od ostatních naprosto legitimních bannerů.

V okamžiku, kdy dojde k začlenění škodlivého banneru do reklamního systému Googlu doubleclick.net, tak může být tímto způsobem nakaženo až několik miliónů uživatelů, kteří o tom nemusí vůbec vědět, obzvlášť když je využito nějaké kritické zranitelnosti, např. CVE-2014-0515 nevyžadující žádnou součinnost ze strany uživatele

Na poslední masivní malvertisement kampani z konce září je zajímavé i to, že nedocházelo k přesměrování na landing page, kde se nachází exploit, který následně stáhne do počítače oběti dropper, ale že byl z flashe volán další flash s exploitem.

Pro úplnost je třeba dodat, že v tomto případě nedošlo k hacknutí Google, ale reklamní agentury Zedo a maligní banner byl zobrazován na různých stránkách návštěvníkům mimo jiné i podle toho, jaké jsou jejich preference apod. To je i důvod, proč se někomu daný banner na stejné stránce zobrazí a jinému nikoliv.

Ve finále pak může být do počítače oběti stáhnut trojan Zemot, ransomware Cryptlocker nebo nějaký bankovní malware.

 


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,

  1. Miroslav Čermák

    Další zajímavá kampaň: https://blog.sucuri.net/2015/01/adsense-abused-with-malvertising-campaign.html.


K článku “Malvertising je mezi útočníky stále oblíbenější” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: