Три недели вредоносная рекламная кампания оставалась незамеченной


MalwareBytesНеизвестные злоумышленники на протяжении трех недель распространяли вредоносов через некоторые крупные рекламные сайты, при этом умело скрывали данный факт. Вредоносная активности была замечена специалистами из Malwarebytes. Однако, не смотря на это, эксперты еще долгое время не могли определить, как именно осуществляются атаки.

Вирусописатели обыграли все так, чтобы их предприятие выглядело, как законный бизнес, использующий конкурентные торги в режиме реального времени. Для этих целей злоумышленники использовали доменные имена, зарегистрированные еще год назад. Интересно то, что некоторые из этих доменов даже были указаны на сайте Better Business Bureau, который занимается рейтингами доверия к компаниям. Сами вредоносные рекламные объявления созданы профессиональными дизайнерами.

Специалисты утверждают, что рекламные объявления были абсолютно чистыми, т.е., в них не был внедрен вредоносный код. Вместо этого они перенаправляли пользователя на другой ресурс, откуда жертва скачивала набор эксплоитов Angler.

Также злоумышленники использовали свой собственный сервер, который распространял вредоносное ПО через зашифрованные HTTPS-каналы. Интересно то, что такие каналы не позволяют специалистам детектировать вредоносы. Именно по этой причине мошенническая кампания и оставалась невыявленной в течение трех недель.

В Malwarebytes отметили, что для перенаправления пользователей на вредоносный сайт злоумышленники использовали сервис Google URL Shortener. Хакеры начали с Google, а уже затем перешли на URL Shortener, работающий на их собственном сервере.

Для распространения вредоноса злоумышленниками были использованы как мелкие рекламные сети, так и крупные, в том числе:

  • DoubleClick;
  • AppNexus;
  • ExoClick,

сайты:

  • ebay.co.uk;
  • drudgereport.com;
  • answers.com;
  • nuvid.com;
  • upornia.com;
  • eroprofile.com.


Многие из этих сайтов могут похвастаться посещаемостью в десятки миллионов посетителей в месяц.


Обновлено (16.09.2015 10:46)