Компании, публикующие рекламные объявления через рекламные сети, к концу следующего года могут лишиться миллиардов. Виной тому ботнет Xindi, разрастающийся с каждым днем за счет эксплуатации дыры в протоколе OpenRTB. Последний используется для осуществления связи между различными частями рекламной кампании: он соединяет рекламодателей, серверы и сайты, на которых размещаются рекламные объявления.

В прошлом году стало известно о баге Amnesia (CVE-2015-7266), поразившем OpenRTB: он позволяет злоумышленнику перехватывать рекламные сообщения, распространяемые через OpenRTB, но задерживать сообщения о доставке часами. На сегодняшний день эта уязвимость до сих пор остается открытой.

Эксплуатируя уязвимость в протоколе, зловред Xindi поражает компьютер, и инфицированная машина запрашивает показ множества рекламных сообщений от одного и того же рекламодателя, но задерживает отклик на несколько часов. Хотя формально рекламное объявление было, хоть и с запозданием, показано, рекламная сеть считает, что показа не произошло. Спустя несколько часов уведомления доставляются, и рекламодателю приходится платить за все показы.

Для того чтобы понять, как работает эта схема, можно провести аналогию. Представьте, что пользователь покупает билет, но при совершении платежа страница не загружается. Обеспокоившись, что транзакция не прошла, пользователь нажимает кнопку «Обновить» несколько раз, пока не получает подтверждение оплаты, но уже поздно: он нечаянно потратил в несколько раз больше.

По данным Pixalate, зловредом поражено от 6 млн до 8 млн компьютеров более чем в 5 тыс. организаций: скорее всего, операторы ботнета нацелились на крупные компании из списка Fortune 500, а также известные образовательные и правительственные организации. Большинство жертв находятся в США, среди них оказались такие компании, как Uber, Home Depot, McDonald’s, Honda, Pandora, Monster, Verizon и Nissan. Высокопрофильные учреждения обычно имеют доступ к высококачественному широкополосному Интернету и не вызывают подозрений у рекламных сетей, что играет на руку хозяевам ботнета и оказывает рекламным сетям медвежью услугу.

О первых атаках Xindi стало известно еще в конце октября 2014 года; после этого специалисты наблюдали три заметных пика ботнет-активности: в декабре прошлого года, в марте и августе 2015 года.

В Pixalate считают, что, если рекламные сети не запатчат уязвимость в OpenRTB, рекламодатели могут лишиться $3 млрд к концу 2016 года.

Категории: Вредоносные программы, Главное, Уязвимости