Масштабную кампанию по доставке трафика на криминальные ресурсы обнаружили ИБ-специалисты из Check Point. Мошенники использовали легитимную баннерную сеть AdsTerra для перенаправления пользователей на вредоносные сайты. По мнению исследователей, атакующие вступили в сговор с реселлерами рекламы, чтобы гарантировать попадание целевой аудитории на страницы злоумышленников.

Киберпреступникам удалось собрать сеть из более чем 10 тыс. сайтов, которые перенаправляли посетителей на основную рекламную площадку, получившую название Master134. В качестве поставщика трафика выступали взломанные ресурсы на платформе WordPress. Злоумышленники воспользовались известной с января 2017 года уязвимостью в версии 4.7.1, чтобы перехватить управление скомпрометированными серверами.

Ключевой площадкой криминальной схемы был сайт Master134. Он имел статус издателя в сети AdsTerra и размещал на своих страницах рекламные слоты, которые впоследствии выкупались партнерами. Внимание ИБ-специалистов привлек тот факт, что абсолютно все баннеры, размещенные агентами на этом ресурсе, вели на вредоносные площадки.

Пунктами назначения для трафика взломанных сайтов неизменно оказывались фишинговые страницы, загрузчики эксплойтов и другие криминальные ресурсы. По мнению экспертов, киберпреступники платили владельцам Master134 за гарантированное привлечение целевой аудитории. В свою очередь, рекламная площадка делилась частью прибыли с партнерами, чтобы замаскировать вредоносную деятельность и не вызывать подозрений у AdsTerra.

Уникальность выявленной исследователями схемы состоит в согласованных действиях теневых рекламных агентств и владельцев сети взломанных сайтов. Это не первый случай использования легальной рекламной сети в криминальных целях, однако ранее киберпреступники пытались внедрить вредоносную рекламу на легитимные страницы, а не создавать их с нуля.

К примеру, в январе этого года стало известно о группе преступников, управлявших почти тремя десятками фальшивых маркетинговых агентств, использовавшихся для размещения в сети нелегальной рекламы. Как выяснили эксперты, злоумышленники сумели привлечь на сайты, содержащие вредоносное ПО, более чем 2,5 млн человек.

Категории: Мошенничество