Home / Malware / Other Malware news / Καμπάνια malvertising στο xHamster

Καμπάνια malvertising στο xHamster

xhamster 0

Στόχος κυβερνοεγκληματιών φαίνεται ότι έχει γίνει για ακόμα μια φορά η δημοφιλής ιστοσελίδα xHamster (φιλοξενεί πορνογραφικό περιεχόμενο και βρίσκεται στην 68η θέση της παγκόσμιας κατάταξης της Alexa), καθώς φαίνεται ότι μέσω αυτής έχει ξεκινήσει μια ακόμα καμπάνια malvertising. Πρόκειται δηλαδή για διασπορά κακόβουλου λογισμικού μέσω των διαφημίσεων που φιλοξενούνται σε μια ιστοσελίδα και στη συγκεκριμένη περίπτωση φαίνεται ότι κάποιοι εκμεταλλεύτηκαν τόσο τον πάροχο διαφημίσεων TrafficHaus όσο και την υπηρεσία της Google για τη σμίκρυνση των URL.

Ερευνητές ασφαλείας της Malwarebytes σημειώνουν ότι το ίδιο δίκτυο διαφημίσεων είχε εμπλοκή σε παρόμοιο περιστατικό στα τέλη του περασμένου Ιανουαρίου.

Μια απλή επίσκεψη στο xHamster αρκούσε για να μολυνθεί ένας υπολογιστής, αν ο browser ή ένα από τα plugin του δεν ήταν ενημερωμένα. Η TrafficHaus ενημερώθηκε για το πρόβλημα και φρόντισε να αφαιρέσει τις κακόβουλες διαφημίσεις, ώστε ο αριθμός των θυμάτων να περιοριστεί.

Η αλυσίδα των ανακατευθύνσεων που χρησιμοποίησαν οι κυβερνοεγκληματίες ήταν αρκετά αποτελεσματική, καθώς κάθε IP μπορεί να γίνει στόχος μόνο μια φορά και το κακόβουλο λογισμικό κρύβεται μέσα σε ένα φαινομενικά αθώο κομμάτι του κώδικα.

xhamster 1

Η διαφήμιση μέσω της οποίας γινόταν η διασπορά του κακόβουλου λογισμικού είχε τοποθετηθεί στην κάτω δεξιά γωνία της ιστοσελίδας xHamster.

Στο στιγμιότυπο οθόνης που ακολουθεί φαίνεται ο πηγαίος κώδικας πίσω από τη διαφήμιση. Ο φυσιολογικός κώδικας είναι με μπλε χρώμα, ενώ ο «ύποπτος» με κόκκινο.

teaserx xhamster

Το κακόβουλο script δημιουργεί ένα URL τύπου goo.gl (το URL shortener της Google), που χρησιμοποιείται έπειτα για την προώθηση των θυμάτων στο Angler Exploit Kit.

googl xhamster

Παρ’ όλο που η Google έβαζε στη μαύρη λίστα κάθε ύποπτο URL, οι κυβερνοεγκληματίες είχαν φροντίσει ώστε να αλλάζουν διαρκώς τα νέα goo.gl links – και έτσι ήταν πάντα ένα βήμα μπροστά από την Google.

Traffic & exploit kit

xhamster traffic

Η αρχική οθόνη του Angler Exploit Kit προσπαθεί να ελέγξει αν ο χρήστης χρησιμοποιεί το Kaspersky:

var tmp, x0 = 'Kaspersky.IeVirtualKeyboardPlugin.JavascriptApi.',

ή το Norton:

var r0 = "res://C:\\Program Files",
r1 = "Norton",
r2 = "Internet",
r3 = "Security",
r4 = "Engine",
r5 = "with Backup",
r6 = "asOEHook.dll",
r7 = "uiMain.dll",
r8 = "msouplug.dll",

για να αποφασίσει αν θα ενεργοποιηθεί ή όχι.

landing xhamster

Στην επίθεση αυτή, μόνο ο Internet Explorer παρουσίαζε πρόβλημα (CVE-2014-4130).

CVE xhamster

Το payload του malware

Πρόκειται για το Bedep και το διαφημιστικό απατηλό περιεχόμενό του.

payload xhamster

Μέσα σε ελάχιστο χρόνο, ο μολυσμένος υπολογιστής δημιουργεί traffic προς διάφορα δίκτυα διαφημίσεων ώστε να υπάρξει και η ανάλογη οικονομική απολαβή.

fraud xhamster

Και σαν να μην έφταναν όλα αυτά, το Bedep φορτώνει «αθόρυβα» και το Magnitude Exploit Kit. Δηλαδή, πολλοί κυβερνοεγκληματίες στοχεύουν στον ίδιο υπολογιστή για να κερδίσουν χρήματα, είτε μέσω spam μηνυμάτων, είτε απατηλών διαφημίσεων ή ακόμα και μέσω banking Trojan.

Συμπέρασμα

Το Angler Exploit Kit θεωρείται ένα από τα πιο αποτελεσματικά και πλέον εξελιγμένα exploit kits των τελευταίων μηνών. Για την προστασία σας, λοιπόν, το cybersecurity.gr συνιστά, να έχετε διαρκώς ενημερωμένα τα προγράμματά σας με τα πιο πρόσφατα patch. Τέλος φροντίστε τα προγράμματα antivirus που χρησιμοποιείτε να είναι διαρκώς ενημερωμένα και μην παραλείψετε να εγκαταστήσετε τα απαραίτητα firewalls στα υπολογιστικά σας συστήματα.

Πηγή: Malwarebytes

Χρήσιμο
Ευανάγνωστο

User Rating: 4.15 ( 2 votes)

About Germanos

Check Also

Ουκρανία: Νέο κύμα ψηφιακών επιθέσεων πλήττει τη βιομηχανία ηλεκτρικής ενέργειας

Ένα νέο κύμα επιθέσεων που στοχεύει εταιρίες παροχής ηλεκτρικής ενέργειας στην Ουκρανία αποκαλύπτει η ESET. «Αυτή …