Злоумышленники встраивает неотключаемую рекламу через Google Analytics


Ara LabsСпециалистами компании Ara Labs была выявлена новая схема, по которой злоумышленники перехватывают DNS. После перехвата происходит подмена тегов Google Analytics и встраивание в посещаемые жертвой страницы неотключаемую рекламу.

Киберпреступники перенаправляют DNS-запросы к домену google-analytics.com на поддельный сайт. Именно с этого сайта на устройства жертв и загружается вредоносный сценарий JavaScript, который в дальнейшем встраивает навязчивые рекламные сообщения (в некоторых случаях вся посещаемая страница оказывается заполненной трудноотключаемой рекламой) на web-сайты, использующие Google Analytics для показа таргетированных объявлений своим посетителям. Стоит отметить, что это ни в коем случае не является уязвимостью в самом Google Analytics. Просто киберпреступники решили использовать площадку от Google в связи с ее популярностью.

Здесь мошенники использовали пару DNS-серверов

  • 91.194.254.105 - основной, который принадлежит злоумышленникам;
  • 8.8.8.8 - дополнительный, используемый компанией Google в качестве публичного DNS-сервера.


При этом большинство DNS-запросов разрешаются через дополнительный сервер. Однако, когда происходит попытка запроса DNS к google-analytics.com, то основной DNS-сервер возвращает ответный IP 195.238.181.169, который в свою очередь ведет на контролируемый злоумышленниками сайт.

При посещении потенциальной жертвой сайта, используемого Google Analytics, с целью загрузить стандартные скрипты с сервера, злоумышленники передают вредоносный JavaScript, который вставляет рекламу на web-сайт. В некоторых случаях вредоносный файл маскируется под легитимный скрипт Google Analytics.

Установлено, что инъекции вредоносных рекламных сообщений производились с доменов:

  • zinzimo.info;
  • ektezis.ru;
  • patifill.com.


На самом деле эти домены принадлежат российской рекламной сети Popunder, специализирующейся на размещении всплывающих рекламных объявлений.


Обновлено (27.03.2015 16:40)