Złośliwe reklamy atakują z użyciem polskich domen regionalnych

dodał 9 stycznia 2015 o 16:12 w kategorii Włamania  z tagami:
Złośliwe reklamy atakują z użyciem polskich domen regionalnych

Dziesiątki milionów internautów mogły być narażone na infekcję komputerów w trakcie odwiedzania popularnych stron. Przestępcom udało się umieścić złośliwe pliki z reklamami, a w infekcji wykorzystywane były polskie domeny regionalne.

Odwiedzanie w sieci jedynie zaufanych stron internetowych nie daje niestety gwarancji bezpieczeństwa. Boleśnie mogli się o tym przekonać internauci, którzy na początku roku zaglądali na witryny popularnych anglojęzycznych serwisów.

Setki milionów potencjalnych ofiar

Ostatniego dnia 2014 firma Cyphort zidentyfikowała problem z kanadyjską witryną popularnego serwisu HuffigtonPost. Część odwiedzających ją gości była poddana próbie infekcji komputera przez Neutrino Exploit Kit. Wkrótce podobnie zaczęły zachowywać się kolejne popularne strony znajdujące się w czołówce rankingu Alexa.com i odwiedzane codziennie przez rzesze internautów. Wśród ofiar znalazły się takie serwisy jak news.yahoo.com, huffingtonpost.com, aol.com, weather.com, sports.yahoo.com czy tmz.com. Pośrednim sprawcą zamieszania okazała się duża sieć reklamowa Advertising.com należąca do AOL.

Przebieg infekcji (źródło: Malwarebytes)

Przebieg infekcji (źródło: Malwarebytes)

Adblock wtyczką zapewniającą bezpieczeństwo

Internetowi przestępcy już dawno doszli do wniosku, że dobra infekcja to masowa infekcja. A kto dysponuje możliwością masowego zamieszczenia kodu na najczęściej odwiedzanych witrynach? Oczywiście sieci reklamowe! Gangi cyberprzestępców rejestrują prawdziwe firmy reklamowe, zatrudniają fachowców znających realia branży i sprytnych programistów, potrafiących przemycić złośliwy kod przez filtry i zabezpieczenia sieci reklamowej. Ich ofiarą padły chyba już wszystkie liczące się sieci reklamowe, a złośliwe reklamy pojawiały się chociażby na Youtube czy Skype (a nawet Elektrodzie). Biorąc pod uwagę skalę zagrożenia trzeba przyznać, że Adblock przestał już być jedynie gwarantem odpoczynku dla wzroku i słuchu w trakcie surfowania po sieci, a stał się narzędziem podnoszącym znacznie poziom bezpieczeństwa przeglądarki. Ten sam cel spełniają także mechanizmy blokujące JavaScript lub Flasha.

Przebieg infekcji

Cyphort oraz Malwarebytes opisały dość szczegółowo proces infekcji. Warto mu się przyjrzeć, ponieważ występuje w nim polski wątek. Kolejne kroki wyglądały tak:

  1. Użytkownik otwiera stronę zawierającą zainfekowaną reklamę.
  2. Kolejne 4 przekierowania wczytują treść reklamy z serwera firmy reklamowej.
  3. Reklama przekierowuje użytkownika na adres https://nomadic-proton-777.appspot.com – Google App Engine. To ciekawy przypadek, ponieważ użycie protokołu https utrudnia analizę (nie uniemożliwia, ale w domyślnej konfiguracji ewentualnego logowania pakietów nie widać treści połączenia). Dodatkowo przesyłane są nagłówki no-store, no-cache, by treść strony nie została zapisana lokalnie na komputerze ofiary.
  4. Kolejne przekierowanie wysyła na http://foxbusness.com.
  5. Kolejne przekierowania wrzucają ruch w sieć polskich domen regionalnych. Przykładowe adresy to:
  6. Na końcu ruch trafia na serwer Neutrino / Sweet Orange, używający exploitów na Internet Explorera, :
  7. Sam atak na przeglądarkę składa się z dwóch elementów – dokumentu HTML i skryptu Visual Basic. HTML atakuje CVE-2013-2551, a VB atakuje CVE-2014-6332. W trakcie ataku skrypty kontaktują się z serwerami:
  8. W przypadku udanego ataku z adresu
    pobierany jest koń trojański Kovter który wstrzykuje się do procesu svchost.exe i łączy się z adresem a16-kite.pw z którego otrzymuje dalsze instrukcje.

Jak zatem widać nie trzeba zwiedzać ponurych zakątków internetu, by stać się ofiarą ataku. Co robić, by takiej sytuacji uniknąć? Aktualizować przeglądarkę (najlepiej automatycznie), wyłączyć niepotrzebne wtyczki lub aktywować funkcję click-to-play oraz na wszelki wypadek blokować reklamy (lub, jak na naszej stronie, zaufać, że Google AdSense się obroni).