Firma blokująca AdBlocka zhakowana, serwowała złośliwe oprogramowanie

dodał 2 listopada 2015 o 08:44 w kategorii Top  z tagami:
Firma blokująca AdBlocka zhakowana, serwowała złośliwe oprogramowanie

Pęd wydawców serwisów internetowych do oferowania gościom reklam wykorzystują przestępcy. Tym razem jednak doszło do sytuacji niecodziennej – złośliwe oprogramowanie serwowała firma pomagająca w walce z AdBlockiem.

Jeśli macie wtyczkę do przeglądarki blokującą reklamy,  to pewnie na niejednej stronie widzieliście prośbę od wydawcy, by wtyczkę wyłączyć. Jest spore prawdopodobieństwo, że w procesie jej wyświetlenia brała udział firma PageFair, jeden z największych graczy na rynku tego typu usług i jednocześnie bohater naszego artykułu.

Nie tylko wygoda, ale przede wszystkim bezpieczeństwo

Wraz z niekontrolowanym rozrostem internetowych reklam popularność zdobywały wtyczki do przeglądarek pomagające przywrócić stronom normalny wygląd. Z czasem zaczęły one również odgrywać ważną rolę w kwestiach bezpieczeństwa. Sieci reklamowe dostarczające banery na setki często odwiedzanych witryn stały się ulubionym celem przestępców. Wystarczyło zhakować jedną sieć reklamową, by móc serwować złośliwe oprogramowanie tysiącom użytkowników naraz. Ofiarami takich ataków padały (i będą padać) największe światowe i polskie serwisy. Jak można się przed tym bronić? Z odsieczą przychodzą wtyczki blokujące reklamy. Blokują wszystkie – te dobre i te złe, znacząco podnosząc bezpieczeństwo użytkowników.

Niestety reklamodawcy i wydawcy, zamiast zauważyć, że przesadzają i ograniczyć dekorowanie stron kolejnymi denerwującymi dodatkami, próbują walczyć z wtyczkami blokującymi reklamy. Korzystając ze specjalnych narzędzi wykrywają obecność takich wtyczek i albo namawiają użytkowników do ich wyłączenia, albo wręcz blokują możliwość korzystania ze strony osobom, które takie wtyczki aktywowały. Narzędzia te to nic innego jak kolejne skrypty, które zamiast wczytywać się ze stron sieci reklamowych, wczytują się ze stron firm wykrywających blokowanie reklam. Właśnie taka firma padła 31 października ofiarą ataku.

Atak krok po kroku

Firma PageFair, oferująca wyświetlanie reklam użytkownikom posiadającym wtyczki je blokujące, stanęła przynajmniej na wysokości zadania i dokładnie opisała, jak doszło do włamania. Zaczęło się – jak w większości zaawansowanych ataków – od wiadomości poczty elektronicznej nakłaniającej do podania swojego hasła do poczty. Pracownik firmy dał się podejść i atakujący uzyskali dostęp do skrzynki. Natychmiast za jej pomocą zresetowali hasło dostępowe do sieci CDN (Content Distribution Network), serwującej firmowe skrypty. Skrypt analizujący zachowanie użytkowników został podmieniony. W nowej wersji wyświetlał komunikat o braku aktualnej wtyczki Flash i wymuszał pobranie pliku adobe_flashplayer_7.exe.

Wyświetlany komunikat

Wyświetlany komunikat

Komunikat wyświetlał się wszystkim użytkownikom, również tym korzystającym z systemu OS X czy smartfonów. Szybkie wyszukiwanie pozwala zlokalizować niektóre ofiary ataku – np. popularne forum AnandTech czy znany serwis dla miłośników aparatów cyfrowych DPReview.

Ciekawa jest walka firmy z atakiem. Problem zauważono podobno już po 5 minutach, jednak do prób infekcji dochodziło jeszcze przez półtorej godziny. Po 33 minutach od ataku firma przekonfigurowała usługę DNS, by omijać serwery CDN, jednak ze względu na czas propagacji do ostatnich infekcji mogło dojść jeszcze 83 minuty po rozpoczęciu ataku. Ze względu na reguły kopii podręcznej (cache) złośliwy skrypt był serwowany tylko użytkownikom, którzy nie odwiedzili strony przez poprzednie 2 godziny.

Atakujący bardzo starali się by ich akcja trwała jak najdłużej – początek ataku na kwadrans przed północą w Halloween to dobra strategia. PageFair trzeba pogratulować szybkiego wykrycia problemu i reakcji a także przejrzystości w publikacji wyjaśnień. Niestety nie poprawia to sytuacji osób, które zainstalowały złośliwe oprogramowanie. Trzeba przyznać, że sytuacja ma dość ironiczny wymiar – użytkownicy blokują reklamy, by nie zostać zainfekowani złośliwym oprogramowaniem, które w końcu dostają od firmy, walczącej z ich blokadami. Cóż, takie czasy.

Jak walczyć z phishingiem
Jeśli chcecie zwiększyć szanse, by Wasi pracownicy lub współpracownicy nie padli ofiarami phishingu jak w opisywanym powyżej przypadku, to warto rozważyć ich przeszkolenie.