Σάββατο, 18 Νοέμβριος 2017, 4:41 πμ

Κακόβουλο λογισμικό διαμοιραζόταν μέσω των δικτύων διαφημίσεων της AOL

huff1

Μια διαδικτυακή καμπάνια διαμοιρασμού κακόβουλου λογισμικού μέσω της επίσημης ιστοσελίδας της “The Huffington Post”, αλλά και άλλων ενημερωτικών ιστοσελίδων, εντόπισαν ερευνητές ασφάλειας. Το εν λόγω λογισμικό μεταφέρεται μέσω του δικτύου διαφημίσεων του αμερικάνικου κολοσσού AOL.

Το πρόβλημα εντόπισαν ειδικοί της Cyphort Labs, στα τέλη του 2014, όταν παρατηρήθηκε ότι διαφημίσεις που συνδέονταν με κακόβουλο λογισμικό εμφανιζόταν στους φυλλομετρητές χρηστών των Ηνωμένων Πολιτειών Αμερικής και του Καναδά που επισκέπτονταν την ηλεκτρονική έκδοση της “The Huffington Post”.

Οι διαφημίσεις αυτές ανακατεύθυναν τους επισκέπτες της ενημερωτικής ιστοσελίδας σε άλλους ιστοτόπους όπου φιλοξενούνταν exploit kits, τα οποία θα επέτρεπαν την επίθεση σε υπολογιστές θυμάτων και την εγκατάσταση του malware.

Ως δίκτυο για τη μεταφορά του κακόβουλου λογισμικού χρησιμοποιήθηκε η πλατφόρμα Advertising.com που ανήκει στην εταιρεία AOL, και μέσω της οποίας προωθούνται πακέτα διαφημιστικών μηνυμάτων. Μόλις ο χρήστης κλίκαρε στη διαφήμιση που τον ενδιέφερε, τότε ανακατευθύνονταν ταχύτατα σε μια σειρά ιστοτόπων, ορισμένοι από τους οποίους χρησιμοποιούσαν κρυπτογραφημένες με HTTPS συνδέσεις, σε μια σελίδα που περιείχε είτε το Neutrino Exploit Kit ή το Sweet Orange Exploit Kit.

Αυτό που έκανε ιδιαίτερη εντύπωση στους ερευνητές είναι ο τρόπος της ανακατεύθυνσης μέσω HTTPS συνδέσεων, καθώς είναι πολύ εύκολη η απόκρυψη της παράνομης δραστηριότητας από τη στιγμή που η κίνηση δεδομένων σε PCAPs δεν προσφέρεται για ανάλυση.

Μέσω του exploit kit μεταφερόταν, εξάλλου, και άλλα χαρακτηριστικά είδη κακόβουλου λογισμικού, όπως τα exploit του Adobe Flash και του VB script – που είναι συνηθισμένος στόχος για τους εγκληματίες στο χώρο του διαδικτύου εξαιτίας των ευπαθειών που κρύβονται σε αυτά. Ακολούθως, μεταφερόταν στον υπολογιστή του θύματος το Kovter trojan, ένα είδος Ransomware, το οποίο κλειδώνει την οθόνη του μολυσμένου υπολογιστή και δεν επιτρέπει στο χρήστη να πραγματοποιήσει καμία ενέργεια.

Οι ερευνητές ανέφεραν χαρακτηριστικά ότι «σκοπός της επίθεσης είναι η εγκατάσταση ενός κακόβουλου binary αρχείου με SHA1: eec439cb201d12d7befe5482e8a36eeb52206d6f . Το κακόβολου λογισμικό μεταφορτώνεται από τη διεύθυνση indus.qgettingrinchwithebooks.babia-gora.pl:8080 , και είναι ένα μη – κρυπτογραφημένο binary αρχείο. Μετά την εκτέλεση, συνδέεται σε ένα 16-kite.pw για CNC. Εκτελείται μέσω μιας διεργασίας τύπου svchost.exe ».

Οι ιστότοποι που φιλοξενούσαν το exploit kit είχαν κατάληξη “.pl”, domain, δηλαδή που αντιστοιχεί στην Πολωνία. Η ύποπτη δραστηριότητα εντοπίστηκε όμως και σε άλλες ιστοσελίδες, όπως το weatherbug.com, το mandatory.com και το houstonpress.com, στιςς οποίες προβαλλόταν διαφημιστικά μηνύματα μέσω των δικτύων της AOL «adtech.de» και «advertising.com» .

Για το θέμα ενημερώθηκε το AOL.com μόλις το περασμένο Σάββατο, ενώ εκπρόσωπος της εταιρείας επιβεβαίωσε τα ευρήματα των ερευνητών και διαβεβαίωσε ότι η εταιρεία θα λάβει όλα τα απαραίτητα μέτρα για να λύσει το πρόβλημα, να προστατεύσει τους επισκέπτες των ιστοτόπων της και να βελτιώσει την ποιότητα των υπηρεσιών που παρέχει.

Δείτε επίσης:

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις.

Ιστότοποι Drupal: κίνδυνος λόγω προβληματικού μηχανισμού ενημερώσεων

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και …