Mellékleteink: HUP | Gamekapocs
Keres
Reagáltunk az igényekre: 40 órás Java képzést indítunk haladóknak szeptember 13-án!

Fertőzött hirdetésekkel támadtak több, millió látogatottságú oldalt

Hlács Ferenc, 2016. március 16. 14:14

Ransomware-t és trójai kártevőket terjesztő hirdetések leptek el több, világszerte népszerű weboldalt az elmúlt napokban. A támadók egy hirdetőcég lejárt doménjét megvásárolva jutottak az oldalakra - a módszerrel új trend születhet az online bűnözők körében.

Kártékony hirdetések hada söpört végig több nagy kaliberű online portálon az elmúlt napokban, amelyek trójai kártevőkkel, illetve ransomware-ekkel fertőzhettek meg számos felhasználót. A kiterjedt "malvertising" kampányról több biztonsági cég, köztük a Trend Micro is beszámolt, a szakértők szerint abba 24 óra alatt több ezer felhasználó futhatott bele. A támadás jó eséllyel az Angler Exploit Kithez köthető - az online bűnözők által használt eszközkészlettel számos népszerű szoftver sebezhetőségei kihasználhatók, mint az Adobe Flash vagy a Microsoft Silverlight. A kompromittált hirdetési hálózatokon utazó támadás többek között a BBC, az AOL, az MSN és a The New York Times webolalát is érintette.

Az akcióra a TrustWave SpiderLabs biztonsági kutatói is felfigyeltek, akik szerint a támadóknak a kampányhoz sikerült megkaparintaniuk egy kisebb hirdetőcég, a BrentsMedia lejárt doménjét, amellyel hozzáférhettek a reklámokat közvetlenül publikáló vagy más hirdetési partnerhálózatokat használó, népszerű weboldalak forgalmához. A szakértők szerint a hirdetésekbe egy JSON fájl is bekerült, amely egy több mint 12 ezer soros, erősen titkosított JavaScript fájlra hivatkozott - a titkosítást visszafejtve kiderült, hogy utóbbi egy kiterjedt listát tartalmaz különböző biztonsági eszközökről és protokollokról, amely segítségével a támadók kiszűrhetik a célpontok közül a hatékony védelmet használó felhasználókat és biztonsági kutatókat, így elkerülve a lebukást.

Ha a rosszindulatú kód nem találkozik a listán szereplő védelmi vonalak valamelyikével, az aktuális weboldal törzsébe egy iframe-et ágyaz, amely az említett Angler oldalára vezet - itt az áldozatokat egyszerre két malware, a Bedep trójai, illetve a TeslaCrypt ransomware is megfertőzi. A támadáshoz felhasználót BrentsMedia doménje idén január elsején járt le, azt idén március elején vette meg az új tulajdonos.

A kártékony hirdetések terjesztésében a SpiderLabs szakértői szerint legalább két partnerhálózatot is felhasználtak, ezek az adnxs és a taggify. Előbbi az esetről értesülve egy órán belül megtette a szükséges lépéseket, a taggify azonban nem jelzett vissza a kutatók felé. A Malwarebytes szerint ugyanakkor az érintett hálózatok között már az AOL, az AppNexus, a Rubicon, sőt a Google is ott van.

A szakértők szerint könnyen lehet, hogy egy egészen új trend van születőben az online bűnözők körében, amelyben a hasonló malvertising kampányokhoz legitim (vagy annak tűnő) hirdetőcégek lejárt doménjeit vásárolják fel, hogy feltűnés nélkül juttathassanak kártékony reklámokat népszerű weboldalakra. Ezt a feltevést látszik igazolni, hogy a SpiderLabs szerint már két újabb, az elmúlt napokban felvásárolt domén is a BrentsMediánál is látott kártékony webhelyek felé mutat.

A támadás jelenleg elsősorban a windowsos PC-ket fenyegeti, a hasonló veszélyek elkerülésére fontos, hogy mindig legyenek telepítve a rendszer, a böngésző, illetve az Adobe Flash, Microsoft Silverlight és hasonló kiegészítők aktuális frissítései - de a legjobb, ha a nem használt kiterjesztéseket egészen töröljük.

Tudod mennyit keres egy jó Java-fejlesztő? Tudod mennyi nyitott pozíció van csak itthon? A kereslet nagy, a kínálat kicsi. Reagáltunk az igényekre.