Malvertising je mezi útočníky stále oblíbenější

Když jsem před třemi lety poprvé psal o malvertisingu, tak se zrovna nejednalo o moc používanou techniku, dnes je tomu ale zcela jinak.

V posledních měsících se s touto technikou setkáváme poměrně často a mezi oběťmi jsou už i uživatelé z ČR.

S reklamou, která návštěvníky přesměrovávala na stránky se škodlivým kódem, jsme se mohli setkat i na takových stránkách jako je amazon.com, youtube.com, java.com, yahoo.com, winrar.com, tmz.com, photobucket.com, deviantart.com, apps.facebook.com, wiki.answers.com, theguardian.com a spoustě dalších.

Samotný útok je nicméně pořád stejný, dojde k napadení systému společností, které se starají o dodávání reklamního obsahu hojně navštěvovaným webům a podstrčení takového reklamního obsahu, který návštěvníky přesměrovává na weby se škodlivým kódem.

V některých případech je zneužíváno nějaké zranitelnosti v aplikaci jako je Flash Player, Microsoft Silverlight nebo Java. Tak tomu bylo např. i koncem srpna, kdy byl do reklamního sdělení začleněn Angler exploit kit, který zranitelností v těchto aplikacích zneužíval, schematicky je to krásně znázorněno zde.

V jiných případech ani žádných zranitelností zneužíváno není, a útočník využívá technik sociálního inženýrství, a spoléhá na to, že poté co se po přesměrování začne stahovat legitimní aplikace, tak že si ji uživatel i nainstaluje. Tak tomu bylo např. v případě útoku nazvaného „Kyle and Stan“, který začal již někdy v květnu a jehož detailní popis najdete zde.

Na tomto posledním případu je zajímavé především to, že na základě user agent stringu došlo k rozlišení, o jaký OS se jedná, a podle toho je uživateli podstrčena legitimní aplikace se zkompilovaným škodlivým kódem. Cílem útoku tak byli jak uživatelé Windows, tak i MacOS.

Ve většině případů je však zneužíváno zranitelností v aplikacích třetích stran jako je Flash, Adobe Reader, JAVA a IE, kdy exploit ukrytý v reklamních bannerech a zobrazovaný na důvěryhodných a hodně navštěvovaných webech zneužívá nějaké kritické zranitelnosti. A nemusí se jednat jen o zero-day zranitelnosti.

Je třeba si uvědomit, že jakýkoliv poskytovatel, ale i zprostředkovatel reklamního obsahu, tedy i společnost Google, se může stát obětí útoku, spočívajícího v modifikaci nebo vložení škodlivého kódu do reklamního banneru, který se nijak neliší od ostatních naprosto legitimních bannerů.

V okamžiku, kdy dojde k začlenění škodlivého banneru do reklamního systému Googlu doubleclick.net, tak může být tímto způsobem nakaženo až několik miliónů uživatelů, kteří o tom nemusí vůbec vědět, obzvlášť když je využito nějaké kritické zranitelnosti, např. CVE-2014-0515 nevyžadující žádnou součinnost ze strany uživatele

Na poslední masivní malvertisement kampani z konce září je zajímavé i to, že nedocházelo k přesměrování na landing page, kde se nachází exploit, který následně stáhne do počítače oběti dropper, ale že byl z flashe volán další flash s exploitem.

Pro úplnost je třeba dodat, že v tomto případě nedošlo k hacknutí Google, ale reklamní agentury Zedo a maligní banner byl zobrazován na různých stránkách návštěvníkům mimo jiné i podle toho, jaké jsou jejich preference apod. To je i důvod, proč se někomu daný banner na stejné stránce zobrazí a jinému nikoliv.

Ve finále pak může být do počítače oběti stáhnut trojan Zemot, ransomware Cryptlocker nebo nějaký bankovní malware.

 

[ssba]

Štítky: , ,

  1. Miroslav Čermák

    Další zajímavá kampaň: https://blog.sucuri.net/2015/01/adsense-abused-with-malvertising-campaign.html.


K článku “Malvertising je mezi útočníky stále oblíbenější” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: