В конце прошлой недели появились несколько предупреждений о новой масштабной кампании, использующей вредоносную рекламу. Как сообщают эксперты, эта malvertising-кампания, нацеленная на засев шифровальщика TeslaCrypt, захлестнула также многие популярные сайты, которые используются злоумышленниками для перенаправления пользователей во владения эксплойт-пака Angler.

Исследователи из трех ИБ-компаний обнаружили внедренные редиректы на многих часто посещаемых сайтах, в том числе на NYTimes.com, Answers.com и AOL.com. По оценке Trustwave, в данную киберкампанию вовлечены тысячи легитимных сайтов.

При активации вредоносные баннеры подгружают страницу, определяющую пригодность визитера для эксплойта; если результат положительный, ему отдается эксплойт, после отработки которого на машину загружается вымогатель. В некоторых случаях целевой нагрузкой оказался троянец Bedep, открывавший бэкдор для загрузки других вредоносных файлов.

Новые массовые компрометации с целью внедрения вредоносной рекламы зафиксировали также TrendMicro и Malwarebytes, хотя пока неясно, связаны эти три киберкампании или нет.

Руководитель антивирусных аналитиков Trustwave Карл Зиглер (Karl Sigler) поведал Threatpost, что атакующие идут на разные хитрости, чтобы заставить рекламные сети крутить вредоносные баннеры. К примеру, злоумышленники приобретают домены маркетинговых компаний и рекламных агентств, срок обслуживания которых недавно истек.

«Рекламные сети производят проверку компаний, пользующихся их услугами, — комментирует Зиглер. — Инициаторам malvertising-кампании приходится прилагать много усилий, чтобы создать видимость легитимности». На настоящий момент Trustwave идентифицировала две рекламные сети, вовлеченные в текущую киберкампанию, — Adnxs и Taggify. Первая сразу же удалила вредоносные баннеры из сети, вторая на предупреждение экспертов никак не отреагировала.

Один из используемых злоумышленниками доменов, brentsmedia[.]com, до января принадлежал BrentsMedia, американской компании, специализировавшейся на онлайн-маркетинге и уже прекратившей свое существование. Владельцами других доменов, envangmedia[.]com и markets.shangjiamedia[.]com, до недавнего времени числились медиакомпании.

В своем отчете эксперты Trustwave отметили, что один из вредоносных баннеров был обнаружен, когда они заметили, что несколько широко известных сайтов вызывают подозрительный JSON-файл, размещенный на brentsmedia[.]com. Как оказалось, этот JSON обращается к JavaScript-файлу, содержащему 12 тыс. строк кода — намного больше обычного.

«Наши сомнения возросли, когда после деобфускации скрипта выяснилось, что он пытается пройти по списку защитных продуктов и инструментов, чтобы отфильтровать ИБ-исследователей и пользователей, вооруженных средствами предотвращения эксплойта», — рассказывают авторы отчета.

TrendMicro оценила ущерб от текущей вредоносной кампании в «десятки тысяч пользователей лишь за последние 24 часа».

«Выльется это в новую тенденцию или нет, но это определенно интересный этап в развитии индустрии малвертайзинга, вновь напомнивший нам, насколько трудно бороться с такими угрозами и конечным пользователям, и рекламным сетям», — написали эксперты в заключение.

Категории: Вредоносные программы, Хакеры