Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Hirdetések helyett malware-t szolgált ki a PageFair

Hlács Ferenc, 2015. november 03. 11:57
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Másfél órán keresztül szolgált ki fertőzött tartalmakat 501 weboldalon a PageFair. A tartalmait a reklámblokkoló szoftverek szűrőjén is átjuttató hirdetőcég a napokban lett spearphishing támadás áldozata.

hirdetés

Malware támadás söpört végig számos, a PageFair hirdetéseit használó weboldalon október utolsó éjszakáján. A Halloweenra időzített akció összesen 501 weboldalt érintett, amelyek látogatóira nagyjából másfél órán keresztül jelentett veszélyt. A vállalat szerint az elkövetők egy spearphising támadással jutottak át a szolgáltatás védelmén, az akciónak áldozatul esett felhasználókat pedig egy hamis hibaüzenettel vették rá, hogy telepítsenek egy frissítésnek álcázott kártevőt.

A PageFair egy olyan hirdetésszolgáltató és analitikai cég, amely "elfogadható" reklámokat biztosít ügyfelei számára. Ez azt jelenti, hogy a vállalat hirdetései megfelelnek a legnépszerűbb reklámblokkoló, az Adblock Plus (ABP) fejlesztői által bevezetett Acceptable Ads szabványnak, azaz kevésbé tolakodók, mint hagyományos társaik. Ezeket a reklámokat az ABP (és néhány más blokkolószoftver) átengedi szűrőin - ezért persze az elfogadhatóbb formátum mellett a PageFair egy "szerényebb összeget" is kifizet a cégnek.

A hétvégi akció során a támadók első körben a PageFair egy kulcsfontosságú email fiókjához szereztek hozzáférést az említett spearphishing támadással, majd ezt használva egy újabb, a céghez tartozó felhasználói fiók fölött is átvették az uralmat (annak jelszavát is megváltoztatva), amely a PageFair által használt tartalomkézbesítő hálózathoz (CDN) tartozott. Utóbbi beállításait módosítva az elkövetők a vállalat analitikához használat JavaScript tagjét saját, rosszindulatú verziójukra cserélték, amely az érintett oldalak látogatóinak hibaüzenetet dobott, illetve egy hamis Adobe Flash frissítést ajánlott fel - ez nem meglepő módon valójában egy botnet trójait takart.

A NanoCore névre hallgató kártevő viszonylag kiterjedt képességekkel rendelkezik, többek között képeket küld irányítószerverére a fertőzött gép webkamerájáról, és a felhasználó által begépelteket is rögzíti. A malware szerencsére csak a Windowst célozza, más platformok felhasználóit nem fenyegeti - ráadásul a Microsoft rendszerén is fennakad a legtöbb biztonsági szoftver szűrőjén, beleértve a Kaspersky, az Avast, a McAfee és az F-Secure termékeit is.

A PageFairnek nagyjából öt perc kellett, hogy észrevegye a hibát, noha ezután még majdnem másfél órára volt szüksége, hogy elhárítsa azt. A támadás összesen 501 weboldalt érintett, noha a vállalat szerint ezek látogatóinak csak aránylag kis részénél, 2,3 százaléknál állt fent a fertőzés kockázata. A PageFair szerint a biztonsági hibát már sikerült teljesen elhárítani, a cég továbbá minden érintett oldalt értesített a történtekről.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.