Hirdetések helyett malware-t szolgált ki a PageFair
Másfél órán keresztül szolgált ki fertőzött tartalmakat 501 weboldalon a PageFair. A tartalmait a reklámblokkoló szoftverek szűrőjén is átjuttató hirdetőcég a napokban lett spearphishing támadás áldozata.
Malware támadás söpört végig számos, a PageFair hirdetéseit használó weboldalon október utolsó éjszakáján. A Halloweenra időzített akció összesen 501 weboldalt érintett, amelyek látogatóira nagyjából másfél órán keresztül jelentett veszélyt. A vállalat szerint az elkövetők egy spearphising támadással jutottak át a szolgáltatás védelmén, az akciónak áldozatul esett felhasználókat pedig egy hamis hibaüzenettel vették rá, hogy telepítsenek egy frissítésnek álcázott kártevőt.
A PageFair egy olyan hirdetésszolgáltató és analitikai cég, amely "elfogadható" reklámokat biztosít ügyfelei számára. Ez azt jelenti, hogy a vállalat hirdetései megfelelnek a legnépszerűbb reklámblokkoló, az Adblock Plus (ABP) fejlesztői által bevezetett Acceptable Ads szabványnak, azaz kevésbé tolakodók, mint hagyományos társaik. Ezeket a reklámokat az ABP (és néhány más blokkolószoftver) átengedi szűrőin - ezért persze az elfogadhatóbb formátum mellett a PageFair egy "szerényebb összeget" is kifizet a cégnek.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A hétvégi akció során a támadók első körben a PageFair egy kulcsfontosságú email fiókjához szereztek hozzáférést az említett spearphishing támadással, majd ezt használva egy újabb, a céghez tartozó felhasználói fiók fölött is átvették az uralmat (annak jelszavát is megváltoztatva), amely a PageFair által használt tartalomkézbesítő hálózathoz (CDN) tartozott. Utóbbi beállításait módosítva az elkövetők a vállalat analitikához használat JavaScript tagjét saját, rosszindulatú verziójukra cserélték, amely az érintett oldalak látogatóinak hibaüzenetet dobott, illetve egy hamis Adobe Flash frissítést ajánlott fel - ez nem meglepő módon valójában egy botnet trójait takart.
A NanoCore névre hallgató kártevő viszonylag kiterjedt képességekkel rendelkezik, többek között képeket küld irányítószerverére a fertőzött gép webkamerájáról, és a felhasználó által begépelteket is rögzíti. A malware szerencsére csak a Windowst célozza, más platformok felhasználóit nem fenyegeti - ráadásul a Microsoft rendszerén is fennakad a legtöbb biztonsági szoftver szűrőjén, beleértve a Kaspersky, az Avast, a McAfee és az F-Secure termékeit is.
A PageFairnek nagyjából öt perc kellett, hogy észrevegye a hibát, noha ezután még majdnem másfél órára volt szüksége, hogy elhárítsa azt. A támadás összesen 501 weboldalt érintett, noha a vállalat szerint ezek látogatóinak csak aránylag kis részénél, 2,3 százaléknál állt fent a fertőzés kockázata. A PageFair szerint a biztonsági hibát már sikerült teljesen elhárítani, a cég továbbá minden érintett oldalt értesített a történtekről.