Не бяхме чували скоро за по-сериозна малвъртайзинг атака, но в последните два месеца, множество издатели и потребители са станали жертва не на една, а на две подобни мащабни кампании, разбираме от публикация на The Media Trust.
Малвъртайзингът или доставянето на зловредна реклама, съвсем не е нова форма на атака. Но с развитието на пазара на онлайн реклама и най-вече на технологията и процесите зад доставянето и интегрирането ѝ, както и на ресурсите и експертизата, отделяни от престъпниците, малвъртайзингът се превръща в огромен проблем.
Настоящата кампания, именувана ShapShifter-3PC показва, че хората зад нея са наясно с процесите по доставка на онлайн реклама. Те експлоатират слабите защити на две buy-side рекламни мрежи, известни с отслабената си сигурност. Екипите по сигурността на The Media Trust регистрират над 50 000 свързани помежду си инциденти (всеки от тях, засягащ хиляди потребители), засегнали над 200 високопрофилни издатели на съдържание.
Самата кампания ShapShifter-3PC, която се предполага, че е инициирана от престъпна група с името Red Baron, е сходна с атаки, проведени през февруари, които са били насочени към потребители на iOS. В случая от миналия месец обаче, Red Baron разгръщат мащаба на кампанията, насочвайки се към потребители на Windows и мобилни устройства. Става дума за особено сложен и успешен тип атака, при която престъпниците успяват да преодолеят защитите, поставени от антивирусните продукти и блокатори на реклама. Атакуващата страна успява да приспи вниманието на защитите, използвайки силно полиморфна зловредна програма, която с честата на промяна на част от кода си, заблуждава традиционните решения за сигурност, базиращи се на сигнатурна детекция. Заедно с това, организаторите на кампанията сменят постоянно командните домейни, с което допълнително объркват защитите.
При Windows потребителите, атаката протича в два етапа. Първоначално пред тях се представя подлъгващо съобщение, с което се подканят да обновят антивирусния си софтуер. Следва ново съобщение скоро след това, с което жертвата бива заплашена, че ако не кликне върху съобщението за обновяване, всички файлове ще бъдат криптирани след 15 минути. Тези, които решат да кликнат на съобщението биват пренасочвани към зловредна страница, имитираща сайта на известна платформа за онлайн разплащания. Всичките данни, които потребителят реши да въведе на тази страница, отиват към престъпниците. Тези, които изберат да не платят в срок от 15 минути се оказват с блокирал браузър, от който единствения начин да излязат е да рестартират системата. Не се съобщава дали на тях се изпълнява някаква допълнителна форма на зловреден код.
Що се отнася до мобилните потребители, то пред тях се представя съобщение за фалшива подаръчна карта на стойност 1000 долара, която би трябвало да идва от популярен онлайн търговец (авторите на доклада не назовават името му – б.а.). Те са инструктирани да въведат своя имейл и физически адрес, пол и годишен доход – информация, която вероятно бива открадната и доставена в даркуеб пространството.
„Атакуващите кампании не са това, което бяха: нито пък инструментите, които се борят с тях трябва да са такива. От началото на 2019, нашите екипи по сигурност станаха свидетели на нарастващото използване на адаптивни атаки и полиморфни зловредни програми, създадени с цел да надхитрят конвенционалните защити, които могат да спрат вече известните заплахи“, пишат The Media Trust. „Само че днес, зловредният код е все по-често нов и неизвестен, отколкото известен, и може да се обновява посредством промени в кода. Няма едно-единствено просто решение, което да защити потребителя от подобни сложни кампании. Ако не това, то поне защитите, които се базират единствено на сигнатури помагат в разпространението на днешните разрушителни зловредни програми“, допълват те в заключението си.
