Взломщики сайтов изобрели новый прием для принудительной переадресации интернет-посетителей на свои площадки. Методика основана на легитимных возможностях CSS, поэтому защитные системы оказываются не способны помочь пользователям.

По данным Malwarebytes, атака построена на всплывающих баннерах, маскирующихся под рекламу Google. Эти объявления можно закрыть кликом по крестику в углу, но когда пользователь подводит к нему курсор, объявление перемещается, так что нажатие попадает на ссылку.

«Мошенники используют динамический CSS-код, который отслеживает курсор по пути к кнопке закрытия, — цитирует ZDNet блог-запись исследователей. — Такие трюки позволяют повысить прибыль от рекламы — клики по баннерам приносят больше денег [по сравнению с простым показом объявлений]».

Помимо мошенничества с маркетинговыми кампаниями, преступники могут таким образом привлекать трафик на собственные площадки. По словам специалистов, подобные сайты зачастую направлены на кражу платежных данных или продвижение услуг «ложной техподдержки». В последнем случае пользователь рискует заразить свой компьютер шпионским ПО или даже лишиться доступа к системе.

Эксперты уже обнаружили реальные кампании с применением описанной технологии. В частности, новый прием взяла на вооружение группировка, которая ранее отметилась XSS-атаками на WordPress-сайты. Злоумышленники встроили незакрываемый баннер в тысячи взломанных ресурсов, при этом переадресации подвергается небольшая часть посетителей — это помогает преступникам избегать блокировки. По оценкам экспертов, подобная кампания может приносить по $20 тыс. в месяц только за счет рекламных показов на сайтах, куда попадает пользователь.

Специалисты заключают, что использование CSS позволяет мошенникам обманывать веб-антивирусы, пока жертва не попадет на вредоносный сайт. Таким образом, защита от таких атак лежит на плечах веб-администраторов, которые должны найти чужой код на своих страницах. Единственное, что могут сделать интернет-посетители, — это использовать блокировщик рекламы, который разом отключит показ вообще всех баннеров.

Категории: Мошенничество, Хакеры