Новости индустрии

Java.com и TMZ содержат вредоносную рекламу, перенаправляющую посетителей на эксплойт-пак Angler

04 сен 2014

Сеть онлайн-рекламы AppNexus снова была задействована в кампании вредоносной рекламы, использующей эксплойт-пак Angler, чтобы перенаправлять пользователей на сайты, содержащие зловред Asprox. По данным компании Fox-IT, популярные веб-сайты, такие как TMZ, Photobucket и Java.com, в последние дни показывали посетителям вредоносные баннеры, являющиеся частью кампании.

«Эти веб-сайты сами по себе не были скомпрометированы, но стали жертвами малвертайзинга. Это значит, что провайдер рекламы, действующий на небольшой части сайта, показывает вредоносные баннеры, нацеленные на заражение посетителей зловредами», — сообщила Fox-IT, добавив, что пик этих перенаправлений пришелся на период между 19 и 22 августа.

Angler входит в меню эксплойт-паков, продающихся на подпольных форумах и используемых в кампаниях для захвата веб-сайтов и перенаправления жертв на сайты, содержащие банковские зловреды и другое вредоносное ПО. В мае AppNexus показывала вредоносные баннеры, нацеленные на платформу Microsoft Silverlight. Сервис потокового кино и телевидения Netflix работает на основе Silverlight, и ввиду его популярности хакеры загружают паки вроде Angler эксплойтами к Silverlight.

Как объясняют в Fox-IT, в текущей кампании эксплойт-пак проверяет, поддерживает ли браузер жертвы уязвимую версию Java или Flash в дополнение к Silverlight, и после этого инициирует загрузку Asprox. В Fox-IT добавили, что связались с AppNexus, проинформировав их о проблеме.

Asprox представляет собой спам-ботнет, недавно доработанный для выполнения кликового мошенничества. Использующие его преступники распространяли модифицированный зловред по многим векторам, включая приложения к письмам. «Apsrox прошел через много изменений и модификаций, включая спам-модули, модули сканирования веб-сайтов и даже модули, крадущие учетные данные, — сообщили в Fox-IT. — Эти факты и происходящие события показывают, что Asprox все еще активно разрабатывается и применяется».

Как только посетитель попадает на сайт, содержащий вредоносный баннер, его браузер незаметно перенаправляется на сайт ads[.]femmotion[.]com, который перенаправляет его к эксплойт-паку, размещенному на паре других доменов, gloriousdead[.]com и taggingapp[.]com.

«Все хосты эксплойт-паки, за которыми мы проследили, используют порт 37702. Работа эксплойт-китов на высоких портах мешает некоторым интернет-инструментам отслеживать HTTP-соединения, так как они обычно сконфигурированы для слежения только за HTTP-портами, — сказали в Fox-IT. — Это также значит, что эксплойт-кит блокируется во многих корпоративных сетях, так как в них запрещены соединения вне обычных HTTP-портов, порта 80 (или прокси-порта и 443 для SSL)».

Fox-IT указала, что веб-сайты, содержащие вредоносные баннеры, обычно не имеют понятия, что они показывают такую рекламу. Рекламные сети полагаются на процесс, известный как перенацеливание, когда провайдеры рекламы и контента оставляют за собой данные отслеживания, чтобы следующая реклама не содержала тот же контент.

«Это работает так, что пользователь с интересным набором cookies слежения и другими метаданными от какого-либо рекламного провайдера перенацеливается с контента изначальной рекламы на сайте на модифицированные или персонализированные данные, — говорят в Fox-IT. — Мы видели примеры, когда веб-сайт, помогающий с помощью рекламы заражать пользователей, не имел понятия, что помогает доставлять определенный контент определенного провайдера рекламы».

Источник: CyberSecuriy.Ru