ИБ-исследователи сообщили об успешной нейтрализации глобальной кампании, использующей вредоносную рекламу для раздачи вымогательского ПО CrypMIC посредством эксплойт-пака Neutrino. По оценке Cisco Talos, эти malvertising-атаки составляли угрозу для 1 млн пользователей, проживающих в Северной Америке, странах Евросоюза, Азиатско-Тихоокеанского региона и Ближнего Востока.

Установлено, что вредоносные объявления-редиректоры подгружались из рекламной сети OpenX и появлялись на популярных новостных и порносайтах, а также тематических ресурсах, посвященных событиям в мире финансов, регби и т.д. Примечательно, что для осуществления перенаправления потенциальной жертве достаточно было просто зайти на страницу с вредоносным содержимым, других действий от нее не требовалось. «Характерной особенностью данной кампании является ее поистине глобальный масштаб, она затронула многие регионы и была многоязычной», — отметил исследователь из Cisco Ник Бьязини (Nick Biasini).

Эксперты специализированного подразделения Cisco обнаружили malvertising-кампанию в начале прошлого месяца. Данных, собранных в течение двух недель, исследователям хватило, чтобы убедить регистратора доменов GoDaddy начать работу по ликвидации редиректоров на единственный сервер Neutrino, размещенный на территории России.

Бьязини полагает, что инициаторы malvertising-кампании воспользовались крадеными идентификаторами для взлома учетных записей домена, открытых у GoDaddy. Затем они создали десятки «чистых» поддоменов и использовали их для покупки права демонстрировать рекламу на платформе OpenX. Для проведения атак злоумышленники воровали контекстную рекламу на тематических сайтах и выдавали ее за собственную, используя возможности OpenX. В результате посетители легитимных ресурсов с вредоносной рекламой попадали в специально созданный поддомен (в Cisco Talos их называют шлюзами), откуда затем перенаправлялись на страницы с эксплойтами.

«Шлюз — это просто посредник между первоначальным редиректором (то есть скомпрометированным сайтом/вредоносной рекламой) и целевым сервером эксплойт-пака, осуществляющим проверку, компрометацию и доставку полезной нагрузки», — поясняет Бьязини в своей блог-записи. По словам исследователя, использование шлюзовых доменов позволяет злоумышленникам быстро переносить вредоносный сервер, не меняя цепочку редиректов, и в итоге обеспечивает «более продолжительные кампании без необходимости постоянно модифицировать сайт или рекламное объявление, с которого начинается цепочка заражения».

По свидетельству эксперта, для перенаправления на страницы с эксплойтами Neutrino атакующие использовали шлюзы со скриптами Darkleech, псевдо-Darkleech и EITest. Бьязини также отметил, что за все время наблюдения опасности заражения подвергались порядка 1 млн посетителей сайтов с вредоносной рекламой, однако лишь 0,1% из них были атакованы Neutrino, доставлявшим вымогателя CrypMIC.

Malvertising-кампания, нейтрализованная усилиями Cisco, еще раз подтвердила, что Neutrino ныне является основным игроком на рынке эксплойт-паков. Он продолжает активно заполнять нишу, которая освободилась после ареста криминальной группировки, грабившей россиян с помощью банковского троянца Lurk. По данным «Лаборатории Касперского», для доставки банкера ее участники широко использовали эксплойт-пак Angler и даже занимались его поддержкой и разработкой, а также сдавали его в аренду другим преступникам.

В своем отчете Бьязини подчеркнул, что malvertising-кампании — угроза, набирающая обороты. «По мере миграции контента в Сеть онлайн-реклама становится основным источником дохода для таких сайтов, — говорит эксперт. — Киберпреступники это знают и все чаще отдают предпочтение malvertising, отказываясь от других, более типовых способов привлечения трафика на ресурсы эксплойт-паков».

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона