Новая кампания по рекламе рекламирует посетителей нескольких высокопоставленных сайтов

Некоторые посетители нескольких высокопоставленных сайтов на прошлой неделе были перенаправлены на эксплойты браузера, которые установили вредоносное ПО на своих компьютерах из-за вредоносных рекламных объявлений на этих сайтах.

Атака затронула посетителей на Java.com , Deviantart.com, TMZ.com, Photobucket.com, IBTimes.com, eBay.ie, Kapaza.be и TVgids.nl между 19 августа и 22 августа, сообщают исследователи из голландской фирмы по безопасности Fox-IT.

«Эти веб-сайты не были скомпрометированы сами, но стали жертвой недооценки», - заявили исследователи в среду в блоге. «Это означает, что поставщик рекламы, предоставляя свои услуги небольшой части веб-сайта, использует вредоносную рекламу, нацеленную на заражение посетителей вредоносными программами».

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

The rogue рекламные объявления были распространены через AppNexus, компанию, которая работает в режиме онлайн-рекламной платформы в режиме реального времени, и перенаправляли посетителей на экземпляр набора для использования Angler, согласно анализу Fox-IT. Этот инструмент атаки может использовать уязвимости в устаревших версиях Flash Player, Java и Microsoft Silverlight для бесшумной установки вредоносных программ на компьютеры пользователей.

В этой конкретной атаке хакеры использовали комплект эксплойтов Angler для установки варианта вредоносного ПО для ботнета Asprox , - сказали исследователи Fox-IT. «Asprox - это известный спам-ботнет, который за последние несколько месяцев увеличил свою игру за счет использования зараженных компьютеров для совершения мошенничества с рекламой».

Хотя Asprox известен в первую очередь для рассылки спама, вредоносное ПО также имеет и другие вредоносные функции, включая сканирование сайтов для уязвимостей и кражи учетных данных входа в систему, хранящихся на компьютерах.

Подобные атаки сообщались в различных рекламных сетях и веб-сайтах за эти годы и вызвали расследование со стороны Сената США. Этот последний случай говорит о том, что их изощренность растет.

В этом конкретном случае злоумышленники воспользовались практикой онлайн-рекламы, известной как перенацеливание, чтобы сделать их атаку сложнее обнаружить. Retargeting включает в себя удаление данных отслеживания, таких как файлы cookie или другие файлы внутри браузеров пользователей, когда они посещают определенные веб-сайты брендов, чтобы впоследствии им можно было показывать рекламу этих брендов на других сайтах.

«Клиенты пострадали, когда они были перенацелены из-за того, что интересные данные отслеживания », - сказали исследователи Fox-IT по электронной почте. «Интересно, что эти данные отслеживания использовались для доставки вредоносного контента».

Будучи выборочным и отображая объявления изгоев только для браузеров, которые хранят определенные метаданные, злоумышленники, вероятно, затруднили для владельцев сайтов обнаружение содержимого изгоев или расследовать сообщения от потенциально затронутых пользователей, так как репликация вредоносного поведения оказалась бы трудной.

Нападавшие также воспользовались процессом торгов в режиме реального времени, который используется для показа объявлений на основе метаданных пользователя, таких как географическое расположение, тип браузера и просмотр веб-страниц история. Этот механизм позволяет рекламодателям предлагать ставки в режиме реального времени, чтобы показывать свои объявления посетителям, которые соответствуют определенным критериям.

«В случае этой кампании с рекламой злоумышленники были самыми высокими участниками торгов», - заявили исследователи Fox-IT в своем блоге .

«Malvertising - известная проблема в онлайн-экосистеме, и отрасль очень серьезно относится к ней», - сказал Грэм Уайли, старший директор по маркетингу в регионах EMEA и APAC в AppNexus по электронной почте. «В последние месяцы мы наблюдаем все большую сложность при атаках и предпринимаем шаги по выявлению и устранению их источника. Мы предоставляем некоторые из лучших в отрасли инструментов для обнаружения и блокирования сомнительных материалов и используем группу аудиторов для обеспечения соблюдения высоких стандартов. В результате мы постоянно учимся и вносим изменения в наши системы и процессы, но не можем делиться конкретными деталями, поскольку это может помочь тем, кто пытается обойти наши гарантии ».

Photobucket, DeviantART и Oracle не сразу отвечали на запросы о комментариях об атаке, связанной с макстрацией, которые, по словам Fox-IT, повлияли на их сайты.

Учитывая избирательный таргетинг, используемый в атаке, трудно узнать количество жертв. Тем не менее, пользователи, посетившие затронутые сайты в последнее время, особенно в течение периода времени, указанного Fox-IT, должны сканировать свои компьютеры на наличие вредоносных программ.

Для защиты от этого типа атаки нет серебряной пули, но есть некоторые способы снизить риск компрометации для пользователей, сказали исследователи Fox-IT. Они включают в себя включение клика для воспроизведения содержимого с плагинами в браузерах, которые предлагают эту функцию, обновление модулей браузера, отключение плагинов, которые больше не нужны, и использование расширений для блокировки рекламы.