Анализируя результаты своего многомесячного мониторинга вредонсоной интернет-рекламы, специалисты ИБ-компании Cyphort обнаружили, что в летний сезон злоумышленники развернули масштабную киберактивность, распространяя вредоносы через баннеры-редиректоры, перенаправляющие кликнувших по ним пользователей на вредоносные ресурсы. Баннеры оформлялись, как традиционные рекламные блоки с узнаваемыми брендами, которые привычно присутствуют на большинстве сайтов.
Рекламно-баннерные атаки для хакеров весьма привлекательны, поскольку позволяют встраиваться в обычные интернет-кампании и внедряться даже на популярные ресурсы. Дело в том, что полномочия по размещению баннерных блоков с платным контентом администрация портала на договорных основаниях обычно передает рекламному агентству - партнеру, которое взаимодействует с рекламодателями и просто делает свой бизнес, зачастую контактируя с заказчиками такой рекламы только при денежных расчетах.
Специалист американской антивирусной компании Bromium Рахул Кашьяп, делая доклад об актуальных проблемах кибербезопасности, отметил, что отвечать за инциденты с редиректингом на вредоносные сайты через замаскированные под привычные баннеры хакерские эксплойты должны в большинстве случаев не владельцы интернет-ресурсов, где размещали такую опасную «рекламу», а — «рекламные компании, которые, к сожалению, также не всегда способны справиться с объемом данных, подлежащих проверке».
В экспертном сообществе считают, что текущая вредоносная кампания — это очередной этап экспансии Angler, которую в июне прогнозировали исследователи ИБ-фирмы Invincea. Тогда они отмечали, что тенденция роста киберактивности хакеров с использованием баннеров-редиректоров и лэндинг-страниц принимает прогрессирует и ширится. И вот «девятый вал» разгула хакерских эксплойтов пришелся на лето. Вредоносные баннеры стали все чаще появляться на респектабельных и раскрученных сайтах. В итоге, как заметили в ИБ-компании Invincea, пользовательские компьютеры стали массово инфицироваться программами-кликерами, ботами, банкерами и шифровальщиками.
Кроме того, растущая активность Angler-атак была замечена и другими профильными компаниями ИБ-профиля. Например, специалисты IT-фирмы Sophos в своем отчете отметили, что динамика заражаемости пользовательских компьютеров с участием эксплойт-паков данного типа за 9 месяцев возросла с 22,8 до 82,2%. По оценке Cyphort, только за десять июльских дней — с 11 по 21 число — таким образом потенциальными жертвами эксплойт-атаки стали порядка 10 млн потенциальных
Зачатую заложенный в баннере код пересылки хакеры шифровали методом SSL/TLS (Secure Sockets Layer/Transport Layer Security), что значительно осложнено работу специалистов по своевременному выявлению вредоноса. Причем такие коды в общей цепочке вредоносных редиректов, как отмечают исследователи, менялись достаточно часто. Вначале с этой целью были задействованы популярные ресурсы, «прописанные» во Вьетнаме, Турции, Японии, Саудовской Аравии и Германии. Все они через SSL-редирект вели к домену германского филиала маркетинговой компании Adtech (принадлежащей AOL), или — облачному сервису Microsoft Azure.
Уже через 5 дней основные скрипты хакерами заменили: теперь пользователя стали перенаправляться на онлайн-ресурсы маркетинговой компании E-planning, а зона «прописки» баннеров касалась США и Юго-Восточню Азию. К началу августа список невольных интернет-соучастников Angler-активности усилиями хакеров прирос за счет шведских, греческих и чешских сайтов. При этом, когда вредоносные баннеры блокировали, злоумышленники просто заменяли их другими или модифицировали таким образом, чтобы первичная проверка не обнаружила их вредоносный характер.
Наряду с набором эксплоитов Angler — хакеры использовали эксплойты на основе ПО Adobe Flash, например, для баннеров с видом рекламы поисковика Yahoo!. В частности, такую операцию с вредоносным Adobe Flash злоумышленники проводили с 28 июля по 3 августа, подвергнув компрометации тысячи компьютеров доверчивых пользователей. Схема мошенников была простой. С помощью сервиса Yahoo! Ads подставные заказчики приобретали рекламное пространство на популярных новостных, спортивных и финансовых сайтах, где сразу же размещали свои баннеры с вредоносным кодом.
Примечательно, что более 50% всех вредоносных баннеров и вирусных программ, которые инфицируют компьютеры пользователей различными malware / spyware, размещаются на интернет-ресурсах с новостным контентом, а не на развлекательных порталах или сайтах «для взрослых», как это было принято считать. На этот факт в своем исследовании указала компания Bromium:
.png)