Рекламные баннеры раздают эксплойты Magnitude, блокеров

раздают эксплойтыЗлоумышленники внедряют вредоносный редирект-код в рекламные объявления, чтобы перенаправить пользователей на сайты с набором эксплойтов Magnitude. В случае успешной эксплуатации посетителя награждают новейшим вариантом известного вымогательского ПО.

Эксплойт-пак Magnitude делает ставку, в основном, на drive-by загрузки, эксплуатируя уязвимости в браузерных плагинах. Результаты анализа, проведенного специалистами из Zscaler, показали, что атаки с участием Magnitude осуществляются с помощью вредоносной рекламы – такая схема известна как malvertising (размещение вредоносного контента на легитимных сайтах с помощью безобидных рекламных служб). В результате активации вредоносного баннера пользователь направляется через ряд редиректов на целевой сайт с эксплойтами Magnitude.

Техника использования промежуточных редиректоров, известная также как 302 cushioning (когда сервер выдает ошибку 302 – «ресурс временно перемещен», с автоматическим HTTP-редиректом), помогает злоумышленникам обойти системы обнаружения и предотвращения вторжений. При подмене страницы с извещением об ошибке загрузки браузер пользователя автоматически перенаправляется на вредоносный ресурс. В данном случае на нем размещены эксплойты из набора Magnitude.

По свидетельству Zscaler, в обнаруженной вредоносной кампании применяется Flash-эксплойт и сильно обфусцированный JavaScript, который атакует уязвимость переполнения буфера в Internet Explorer, описанную в бюллетене MS13-009 и пропатченную Microsoft еще в феврале 2014 года.

Обычно после успешной атаки Magnitude производится загрузка целевого зловреда, однако в данном случае злоумышленники добавили еще один этап – загрузку щелл-кода. Последний с помощью Windows-библиотеки urlmon.dll запрашивает список URL и использует первую позицию в этом списке для загрузки CryptoWall 3.0.

«Это очень продуктивный блокер, который использует Bitcoin-транзакции и анонимайзер Tor для монетизации атак, – пишут эксперты Zscaler Эдвард Майлз (Edward Miles) и Крис Мэннон (Chris Mannon) в блоге компании. –  Операторы зловреда используют такие технологии, так как они помогают им замести следы. Жертвы особенно уязвимы к этому виду вымогательства, ибо мало кто удосуживается делать резервные копии важных файлов, таких как документы и изображения».

Как удалось определить, инфраструктура грозного шифровальщика размещена преимущественно на территории Германии. Большая часть вредоносной рекламы привязана к ресурсу click2.systemaffiliate.com, оператором которого является рекламная сеть SunlightMedia. По утверждению оператора, вредоносные баннеры уже изолированы и подвергнуты блокировке.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Имя
E-mail

 

Комментарии к записи Рекламные баннеры раздают эксплойты Magnitude, блокеров