Hirdetéseken át fertőző malware-kampányt lepleztek le
Hirdetésekbe rejtett malware-rel fertőződhettek meg több népszerű weboldal látogatói. A többek között a Java.com és Deviantart.com oldalakon is feltűnő reklámok egy malvertising kampány részeként juttattak rosszindulatú szoftvereket a felhasználók számítógépeire.
Rosszindulatú szoftverrel fertőzött hirdetések kerültek ki több népszerű weboldalra augusztus 19. és 22. között, veszélybe sodorva a látogatók számítógépeit. A fenyegetést elsőként felfedező holland Fox-IT biztonsági cég szerint a támadók nem magukat a weboldalakat törték fel, hanem a "malvertising" néven elterjedt módszert használták: ennek lényege, hogy bűnözők az adott oldalon valamely hirdetőplatformon keresztül rosszindulatú hirdetéseket tesznek közzé, amelynek célja, hogy a látogatók számítógépeit malware-rel fertőzze meg.
Az érintett oldalak a Java.com, Deviantart.com, TMZ.com, Photobucket.com, IBTimes.com, eBay.ie, Kapaza.be és a TVgids.nl voltak a Fox-IT szerint. Az említett reklámokat az AppNexus hirdetési platformon keresztül tették közzé, ezek aztán az Angler néven ismertté vált eszközzel juttattak rosszindulatú szoftvereket a látogatók PC-ire. Az Angler a Flash Player, a Java és a Microsoft Silverlight elavult verzióinak sebezhetőségeit használja ki, hogy a felhasználó tudta nélkül telepítsen malware-eket. Jelen esetben az Asprox nevű, spam-botnet programot juttatta célba, amely a fertőzött gépeket zombihálózatba kötve online hirdetésekre kattintgat. Az Asprox az elmúlt néhány hónapban vált különösen elterjedtté, ráadásul a klikkelgetés mellett az egyes weboldalak sebezhetőségeinek felderítésére és az adott gépen tárolt belépési azonosítók meglovasítására is képes.
Hyperscaler vagy hazai felhő? Lehet, hogy nem kell választani! Egy jól felépített hibrid vagy multicloud modellben a különböző felhők nem versenytársai, hanem kiegészítői egymásnak.
Hogy feltűnés nélkül folytathassák az akciót, a támadók retargeting technikával szórták ki a hirdetéseket, amely nyomon követi a felhasználók navigációját az egyes oldalakon, például cookie-k segítségével, hogy aztán más weblapon is a korábban relevánsnak ítélt reklámot mutassa nekik. A malware-kampány során csak az ilyen másodkézről érkezett felhasználókat vették célba, ezáltal az egyes oldalak tulajdonosainak jóval nehezebb volt észrevenni a káros tartalmakat hordozó hirdetéseket. A támadók mindezek mellett a hirdetőplatform licitrendszerét is kihasználták, amelyben az egyes hirdetők a felhasználók böngészési előzményei, földrajzi pozíciója és böngészőtípusa alapján tehetnek ajánlatokat a számára kibocsátott hirdetésekre - ebben az esetben mindig az Asprox terjesztőié volt a legmagasabb licit.
A hasonló malvertising kampányok komoly problémát jelentenek az iparág számára, ráadásul az elmúlt hónapokban egyre kifinomultabbá válnak. A jelenlegi ügyben érintett AppNexus szerint már megtették a szükséges lépéseket a probléma megszüntetésére, noha ezzel kapcsolatban a cég részleteket nem közölt, arra hivatkozva, hogy ezzel a támadókat is segítenék. Hogy pontosan hány számítógépet érintett az akció a felhasznált retargeting technika miatt nehéz lenne megmondani, ugyanakkor azoknak akik meglátogatták az elmúlt hetekben a fent felsorolt oldalak valamelyikét, mindenképp érdemes biztonsági ellenőrzést végezni számítógépükön.