AdGholas: potężna kampania malware przez przejęte sieci reklamowe – jest też polski wątek – interia.pl

30 lipca 2016, 20:40 | Aktualności | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

TL;DR: zaatakowano 22 sieci reklamowe i serwowano malware m.in na 113 serwisach. Interia.pl newyorktimes.com topgear.com cnet.com last.fm msn.com – to tylko kilka znanych domen objętych procederem.

W ramach ataku udało się zbierać 1-5 milionów requestów na dzień – z czego 100 000 – 1 000 000 requestów dziennie trafiało w exploit kit. Całość działała w pełnej konfiguracji od 2015 roku – pierwsze znaki już w 2013.

O tego typu scenariuszu pisaliśmy już nie raz. Po co wysilać się, atakując popularne serwisy i dalszym kroku odwiedzającym serwować malware… wystarczy przejąć sieci reklamowe i w ten sposób serwować złośliwe oprogramowanie do niczego nie spodziewających się odwiedzających.

AdGholas korzystał z dość nietypowych metod działania – steganografia (np. z obrazu png, za pomocą odpowiedniego API w HTML5 dekodowany był javascript),  odpowiedni dobór reklam (język, lokalizacja ofiary) czy korzystanie z idealnie podrobionych serwisów (w końcu nie chcemy aby ofiary coś podejrzewały…):

 

ag1

Sklonowana strona

ad2

Steganografia w akcji

Tego typu ataki będą zapewne coraz częstsze, używanie adblockerów staje się powoli już nie wygodą, ale podstawą bezpieczeństwa.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. zero one

    Inter-mła, Łonet, Wirtualna Porażka…
    Czyli „syfiljada” polskiego internetu ;| Nie dość że brudzą w ludzkich głowach to jeszcze… czynią inny bałagan.

    Reklama to zaraza. Serwisy pokroju wirtuaklnej porażki to zgroza. Wyświetla się stronę główną i zyskuje dowolny śmieć i marnotrawstwo zasobów.

    Przyszłością są donatorzy i niewielkie wartościowe strony. (np. Sekurak.pl) Jestem przekonany że czytelnicy Sekuraka nie mają problemu z niewielką nieagresywną reklamą która pomoże utrzymać się stronie. Jednak tobloidyzacja i debilizacja … no sami wiecie ;)

    Odpowiedz
  2. Marcepan

    Cyt. „Portal jest prowadzony przez Grupę Interia.pl Sp. z o.o. Sp. k., która od stycznia 2008 niemal w całości (96.6.% akcji i 99% głosów na walnym zgromadzeniu) należy do niemieckiego przedsiębiorstwa Grupa Bauer Media Polska[3].” z: wiki

    No faktycznie interia to polski portal..

    Odpowiedz
    • „Portal publikujący treści w języku polskim, będącym w większościowym posiadaniu przez kapitał zagraniczny” – brzmi to trochę nieporadnie ;-)

      Ale dzięki za zwrócenie uwagi. BTW jest jakiś znaczący portal będący tylko z PL kapitałem?

      Odpowiedz
  3. Robert

    Ostatnio wchodząc androidem na Onet pełen nie mobilny wciąż wygrywam Iphone’a… Chyba czas postawić filtrowanie na routerze bo się robi niefajnie.

    Odpowiedz
    • Piotr

      Od kilku dni mam to samo na iPadzie dziecka, moim i zony WP 8.1 i pokazalo sie tez na Windows 8.1 stacjonarnym. Stacjonarka jest na Firefoksie i zapasowym Maxthonie z ad- i flashblockami, w WPhone rozwiazalem problem instalacja Incognito Browsera, ktory nie wyświetla reklam, flashy, a Jave mozna sobie wlaczyc kiedykolwiek, teraz walcze z iPadem dziecka. Szukam sprawdzonego blockera na iOS10, ktos doradzi? Niestety, za mlodu Mac byl poza zasiegiem i dorastalem na Amidze, potem na Dosie i Win… nie znam sie na jablkach (za wyjatkiem pysznych i wykwintnych jaboli)

      Odpowiedz

Odpowiedz