Авторы вредоносной рекламы научились обходить адблокеры
26.05.2017
Эксперт компании Malwarebytes Жером Сегура (Jerome Segura) рассказал о кампании по распространению вредоносной рекламы, которая длится на протяжении года. Отличие кампании, получившей название RoughTed, заключается не только в использовании разнообразных техник и типов вредоносного ПО, но и способности рекламных объявлений обходить блокировщики рекламы, такие как Adblock Plus, uBlock или AdGuard.
По словам Сегуры, вредоносные объявления публиковались как на небольших сайтах, так и на крупных ресурсах, входящих в рейтинг посещаемости сайтов Alexa, в том числе Adf.ly, ExtraTorrent (прекратил существование), Openloud и Ouo.io. Всего за три месяца кампании страницы на связанных с RoughTed доменах посетило более полумиллиарда пользователей. Операторы RoughTed использовали облачную инфраструктуру Amazon, а также ряд рекламных сетей для усложнения обнаружения источника атаки.
Помимо масштаба кампании поражает и качество организации RoughTed. Злоумышленники применяли фингерпринтинг для сбора информации о пользователях, в том числе данных об используемом браузере, операционной системе, языковых настройках, геопозиции и т.д. На основе собранных сведений выбирался оптимальный тип атаки. В рамках кампании злоумышленники распространяли наборы эксплоитов (RIG, Magnitude), мошеннические предупреждения о необходимости обновления ПО или проблемах с компьютером, фальшивые расширения Chrome, страницы для загрузки рекламного ПО для Mac и Windows и пр. Наибольшее число пострадавших от вредоносной кампании зафиксировано в США, Канаде, Великобритании, Италии, Испании и Бразилии.
Вредоносная реклама - используемая киберпреступниками стратегия, предполагающая взлом рекламных сервисов и использование их для распространения рекламных объявлений со скрытым вредоносным кодом. Для заражения пользователю даже не требуется нажимать на рекламный баннер.
