По данным исследований, злоумышленники смогли организовать кампанию по распространению вредоносной рекламы, в ходе которой на протяжении более чем года за день ее контент просматривало от 1 млн до 5 млн пользователей. Добиться нескольких тысяч заражений в сутки удалось за счет использования комбинации техник фильтрации и стеганографии — методики сокрытия информации в других сообщениях или изображениях.

По словам экспертов из Proofpoint, следивших за ними с октября 2015 года, злоумышленники свернули свою деятельность пару недель назад. Исследователи также отметили, что, по их данным, группировка, названная ими AdGholas, начала свою деятельность еще в 2013 году.

Хотя стеганография используется атакующими уже давно, это первый случай, когда эта техника была применена в ходе рекламной кампании с применением drive-by-загрузок.

По данным исследователей, JavaScript-код, ответственный за фильтрацию, также использовался для считывания дополнительного JavaScript-кода из PNG-файла посредством использования API. Заражение происходит при посещении сайта, после чего пользователя перенаправляют на сайт-клон, чем вводят его в заблуждение, создавая иллюзию того, что все в порядке.

Как заявили эксперты Proofpoint, какое-то время кампания полагалась на трафик, генерируемый эксплойт-паками. Когда в начале июня затихла активность Angler, AdGholas также сделала паузу, однако спустя две недели вновь взялась за старое, при этом злоумышленники взяли на вооружение эксплойт-пак Neutrino. Из миллионов просмотров за день от 10 до 20% перенаправлялось обратно на страницы, распространяющие эксплойт-пак.

«Недавние наблюдения показывают, что AdGholas или же их подельники с конца апреля начали использовать обратные прокси-серверы, раздававшие используемую на тот момент версию эксплойт-пака. Только в этом эпизоде мы смогли обнаружить трафик, используемый Angler EK и сжатый при помощи gzip, однако трафик, генерируемый Neutrino, теперь также сжимается gzip», — заявили эксперты Proofpoint в минувший четверг.

В ходе кампании также распространялись специфичные для региона жертвы троянцы. К примеру, компьютеры в Канаде заражались банкером Gozi ISFB, австралийские — при помощи Terdot.A, а испанские — с помощью банкера Gootkit.

Эксперты Proofpoint сообщили ряду рекламодателей о вредоносной кампании, и они, по всей видимости, оперативно отреагировали на эту информацию.

«Мы хотим поблагодарить всех тех работников рекламной индустрии, кто (напрямую или косвенно) помог в оперативном порядке пресечь деятельность злоумышленников. Под напором их совместных усилий злоумышленники остановили активность всех своих кампаний к утру 20 июля», — пишут эксперты.

Прошлой осенью на конференции Black Hat Europe исследователи из двух разных компаний представили совместную презентацию об использовании приемов стеганографии при проведении вредоносных кампаний. Пьер-Марк Бюро (Pierre-Marc Bureau), старший ИБ-исследователь из Dell SecureWorks, и Кристиан Дитрих (Christian Dietrich) из Crowdstrike заявили, что методика была взята злоумышленниками на вооружение и используется ими для сокрытия каналов взаимодействия с C&C-серверами.

К примеру, зловред Stegoloader, обнаруженный специалистами Dell прошлым летом, скрывал вредоносную нагрузку в изображениях. После того как компьютер пользователя был заражен, загрузочный модуль зловреда делал вызов к специальному PNG-файлу, размещенному на легитимном сайте, скачивал его и извлекал вредоносную нагрузку.

Категории: Вредоносные программы, Хакеры