Malvertising je mezi útočníky stále oblíbenější
Když jsem před třemi lety poprvé psal o malvertisingu, tak se zrovna nejednalo o moc používanou techniku, dnes je tomu ale zcela jinak.
V posledních měsících se s touto technikou setkáváme poměrně často a mezi oběťmi jsou už i uživatelé z ČR.
S reklamou, která návštěvníky přesměrovávala na stránky se škodlivým kódem, jsme se mohli setkat i na takových stránkách jako je amazon.com, youtube.com, java.com, yahoo.com, winrar.com, tmz.com, photobucket.com, deviantart.com, apps.facebook.com, wiki.answers.com, theguardian.com a spoustě dalších.
Samotný útok je nicméně pořád stejný, dojde k napadení systému společností, které se starají o dodávání reklamního obsahu hojně navštěvovaným webům a podstrčení takového reklamního obsahu, který návštěvníky přesměrovává na weby se škodlivým kódem.
V některých případech je zneužíváno nějaké zranitelnosti v aplikaci jako je Flash Player, Microsoft Silverlight nebo Java. Tak tomu bylo např. i koncem srpna, kdy byl do reklamního sdělení začleněn Angler exploit kit, který zranitelností v těchto aplikacích zneužíval, schematicky je to krásně znázorněno zde.
V jiných případech ani žádných zranitelností zneužíváno není, a útočník využívá technik sociálního inženýrství, a spoléhá na to, že poté co se po přesměrování začne stahovat legitimní aplikace, tak že si ji uživatel i nainstaluje. Tak tomu bylo např. v případě útoku nazvaného „Kyle and Stan“, který začal již někdy v květnu a jehož detailní popis najdete zde.
Na tomto posledním případu je zajímavé především to, že na základě user agent stringu došlo k rozlišení, o jaký OS se jedná, a podle toho je uživateli podstrčena legitimní aplikace se zkompilovaným škodlivým kódem. Cílem útoku tak byli jak uživatelé Windows, tak i MacOS.
Ve většině případů je však zneužíváno zranitelností v aplikacích třetích stran jako je Flash, Adobe Reader, JAVA a IE, kdy exploit ukrytý v reklamních bannerech a zobrazovaný na důvěryhodných a hodně navštěvovaných webech zneužívá nějaké kritické zranitelnosti. A nemusí se jednat jen o zero-day zranitelnosti.
Je třeba si uvědomit, že jakýkoliv poskytovatel, ale i zprostředkovatel reklamního obsahu, tedy i společnost Google, se může stát obětí útoku, spočívajícího v modifikaci nebo vložení škodlivého kódu do reklamního banneru, který se nijak neliší od ostatních naprosto legitimních bannerů.
V okamžiku, kdy dojde k začlenění škodlivého banneru do reklamního systému Googlu doubleclick.net, tak může být tímto způsobem nakaženo až několik miliónů uživatelů, kteří o tom nemusí vůbec vědět, obzvlášť když je využito nějaké kritické zranitelnosti, např. CVE-2014-0515 nevyžadující žádnou součinnost ze strany uživatele
Na poslední masivní malvertisement kampani z konce září je zajímavé i to, že nedocházelo k přesměrování na landing page, kde se nachází exploit, který následně stáhne do počítače oběti dropper, ale že byl z flashe volán další flash s exploitem.
Pro úplnost je třeba dodat, že v tomto případě nedošlo k hacknutí Google, ale reklamní agentury Zedo a maligní banner byl zobrazován na různých stránkách návštěvníkům mimo jiné i podle toho, jaké jsou jejich preference apod. To je i důvod, proč se někomu daný banner na stejné stránce zobrazí a jinému nikoliv.
Ve finále pak může být do počítače oběti stáhnut trojan Zemot, ransomware Cryptlocker nebo nějaký bankovní malware.
Štítky: malvertisement, malvertising, malware
K článku “Malvertising je mezi útočníky stále oblíbenější” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Další zajímavá kampaň: https://blog.sucuri.net/2015/01/adsense-abused-with-malvertising-campaign.html.