Szerző: Hlács Ferenc

2014. augusztus 28. 16:01

Hirdetéseken át fertőző malware-kampányt lepleztek le

Hirdetésekbe rejtett malware-rel fertőződhettek meg több népszerű weboldal látogatói. A többek között a Java.com és Deviantart.com oldalakon is feltűnő reklámok egy malvertising kampány részeként juttattak rosszindulatú szoftvereket a felhasználók számítógépeire.

Rosszindulatú szoftverrel fertőzött hirdetések kerültek ki több népszerű weboldalra augusztus 19. és 22. között, veszélybe sodorva a látogatók számítógépeit. A fenyegetést elsőként felfedező holland Fox-IT biztonsági cég szerint a támadók nem magukat a weboldalakat törték fel, hanem a "malvertising" néven elterjedt módszert használták: ennek lényege, hogy bűnözők az adott oldalon valamely hirdetőplatformon keresztül rosszindulatú hirdetéseket tesznek közzé, amelynek célja, hogy a látogatók számítógépeit malware-rel fertőzze meg.

Az érintett oldalak a Java.com, Deviantart.com, TMZ.com, Photobucket.com, IBTimes.com, eBay.ie, Kapaza.be és a TVgids.nl voltak a Fox-IT szerint. Az említett reklámokat az AppNexus hirdetési platformon keresztül tették közzé, ezek aztán az Angler néven ismertté vált eszközzel juttattak rosszindulatú szoftvereket a látogatók PC-ire. Az Angler a Flash Player, a Java és a Microsoft Silverlight elavult verzióinak sebezhetőségeit használja ki, hogy a felhasználó tudta nélkül telepítsen malware-eket. Jelen esetben az Asprox nevű, spam-botnet programot juttatta célba, amely a fertőzött gépeket zombihálózatba kötve online hirdetésekre kattintgat. Az Asprox az elmúlt néhány hónapban vált különösen elterjedtté, ráadásul a klikkelgetés mellett az egyes weboldalak sebezhetőségeinek felderítésére és az adott gépen tárolt belépési azonosítók meglovasítására is képes.

Hogy feltűnés nélkül folytathassák az akciót, a támadók retargeting technikával szórták ki a hirdetéseket, amely nyomon követi a felhasználók navigációját az egyes oldalakon, például cookie-k segítségével, hogy aztán más weblapon is a korábban relevánsnak ítélt reklámot mutassa nekik. A malware-kampány során csak az ilyen másodkézről érkezett felhasználókat vették célba, ezáltal az egyes oldalak tulajdonosainak jóval nehezebb volt észrevenni a káros tartalmakat hordozó hirdetéseket. A támadók mindezek mellett a hirdetőplatform licitrendszerét is kihasználták, amelyben az egyes hirdetők a felhasználók böngészési előzményei, földrajzi pozíciója és böngészőtípusa alapján tehetnek ajánlatokat a számára kibocsátott hirdetésekre - ebben az esetben mindig az Asprox terjesztőié volt a legmagasabb licit.

A hasonló malvertising kampányok komoly problémát jelentenek az iparág számára, ráadásul az elmúlt hónapokban egyre kifinomultabbá válnak. A jelenlegi ügyben érintett AppNexus szerint már megtették a szükséges lépéseket a probléma megszüntetésére, noha ezzel kapcsolatban a cég részleteket nem közölt, arra hivatkozva, hogy ezzel a támadókat is segítenék. Hogy pontosan hány számítógépet érintett az akció a felhasznált retargeting technika miatt nehéz lenne megmondani, ugyanakkor azoknak akik meglátogatták az elmúlt hetekben a fent felsorolt oldalak valamelyikét, mindenképp érdemes biztonsági ellenőrzést végezni számítógépükön.

a címlapról