Мир: Вредоносная рекламная кампания оставалась необнаруженной в течение трех недель

1

Несмотря на то, что ИБ-специалисты чаще всего выявляют вредоносные кампании через несколько дней после начала их активности, неизвестным злоумышленникам удалось скрывать распространение вредоносов через некоторые крупные рекламные сайты в течение трех недель. ИБ-исследователи из Malwarebytes сообщили, что вредоносная активности была замечена, однако эксперты долгое время не могли определить, как именно осуществляются атаки.


Согласно данным Жерома Сегуры (Jerome Segura), вирусописатели сделали все возможное для того, чтобы их предприятие выглядело, как законный бизнес, использующий конкурентные торги в режиме реального времени. Злоумышленники использовали доменные имена, которые были зарегистрированы еще год назад. Некоторые из них даже были указаны на сайте Better Business Bureau, который занимается рейтингами доверия к компаниям. Распространяемые мошенниками вредоносные рекламные объявления, по всей вероятности, создавались профессиональными дизайнерами.

По словам Сегуры, “рекламные объявления были абсолютно чистыми”. В них не был внедрен вредоносный код, вместо этого они перенаправляли пользователя на другой ресурс, откуда жертва скачивала вредонос, в данном случае набор эксплоитов Angler.

Сегура также рассказал, что злоумышленники использовали свой собственный сервер, который распространял вредоносное ПО через зашифрованные HTTPS-каналы. Эксперт пояснил, что такие каналы не позволяют специалистам детектировать вредоносы, поэтому мошенническая кампания оставалась невыявленной в течение трех недель.

Согласно данным Malwarebytes, для перенаправления пользователей на вредоносный сайт злоумышленники использовали сервис Google URL Shortener. Хакеры начали с Google, а затем перешли на URL Shortener, работающий на их собственном сервере. Эксперты уже уведомили Google о происходящем.

Для распространения вредоноса злоумышленники использовали как мелкие рекламные сети, так и крупные, в том числе DoubleClick, AppNexus, ExoClick, сайты ebay.co.uk, drudgereport.com и answers.com, а также ресурсы для взрослых nuvid.com, upornia.com и eroprofile.com. Многие из сайтов могут похвастаться посещаемостью в десятки миллионов посетителей в месяц. (Malwarebytes/NovostIT)