Интернет под атакой крипто-вымогателей

Компании по обеспечению интернет безопасности предупреждают, что мэйнстрим вебсайты, такие как The New York Times, BBC, MSN и AOL стали жертвами новейшей эпидемии распространения вредоносной рекламы, которая пытается скрытно установить программу крито-вымогатель и другие вредоносные программы на компьютеры ничего не подозревающих посетителей сайтов.

Согласно сообщению в блоге, опубликованном Trend Micro, недоброкачественная реклама может быть просмотрена десятками тысяч посетителей за последние 24 часа. Новая рекламная кампания началась на прошлой неделе, когда «Angler» — тулкит, продающий эксплойты для Adobe Flash, Microsoft Silverlight и других программ, широко использующихся для просмотра интернет-контента, начал проталкивать атакующую баннерную рекламу через скомпрометированную рекламную сеть.

Согласно другому сообщению в блоге группы SpiderLabs Trustwave, один из JSON-файлов, распространяемых через баннерную рекламу, содержит более 12 000 строк кода, с трудом поддающегося разбору. Когда исследователи расшифровали этот код, они обнаружили, что в нем содержится длинный список продуктов и инструментов обеспечения безопасности, которые вирус должен был обходить, в попытке остаться незамеченным.

Исследователи SpiderLabs Дэниэл Чечик (Daniel Chechik), Саймон Кенин (Simon Kenin) и Рами Коган (Rami Kogan) пишут:

«Если код в момент выполнения не находит никакую из перечисленных программ, он продолжает выполняться и добавляет iframe к телу загружаемого кода в html, в котором выставлена загрузка стартовой страницы эксплойта Angler EK. В случае успешной загрузки, Angler инфицирует компьютер несчастной жертвы трояном Bedep и вымогателем TeslaCrypt, таким образом удваивая проблему».

Уточнение: В соответствии с сообщением от Malwarebytes, шквал вредоносной рекламы начался в прошедшие выходные, практически с нуля. Он ударил по некоторым крупнейшим новостным агентствам, включая msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com и newsweek.com. В список пораженных сетей попали принадлежащие Google, AppNexis, AOL и Rubicon. Атаки ведутся с двух подозрительных доменов, включая trackmytraffic[c],biz и talk915[.]pw.

В соотвестсвии с заявлением SpiderLabs, реклама также расползлась по таким сайтам, как answers.com, zerohedge.com и infolinks.com. Законные мэйнстрим-сайты оказываются вовлеченными в распространение зловредов с доменных имен, связанных со скомпрометированными рекламными сетями. Наиболее распространенное доменное имя в текущей кампании brentsmedia[.]com. Записи регистрации доменных имен whois показывают, что домен принадлежал компании онлайн-маркетинга вплоть до 3 декабря 2015, когда действие регистрации домена истекло. Он был перерегистрирован текущим владельцем 6 марта 2016, за день до того, как началось распространение зловредной рекламы.

Другие доменные имена, использующиеся для атаки — evangmedia[.]com и shangjiamedia[.]com. Исследователи SpiderLabs считают, что те, кто продвигают зловредные объявления, ищут просрченные домены, содержащие «media», с целью извлечь репутационную выгоду от «законного» адреса.

Эта кампания подчеркивает важную роль, которую играет интеллектуальный просмотр в безопасном пребывании онлайн. Одной из важнейших действий пользователей может быть уменьшение того, что исследователи называют «поверхность атаки». Это означает деинсталляцию таких программ, как Adobe Flash, Microsoft Silverlight и прочих расширений броузера от сторонних производителей, если только их наличие не требуется со всей определенностью. Другим важным компонентом безопасного просмотра страниц в интернете является установка обновлений — так скоро, настолько быстро они появляются, а так же использование 64-битной версии Chrome везде, где только возможно.  Пользователям Windows не повредит установка Windows 10 и использование Enhanced Mitigation Experience Toolkit от Microsoft.

Данная статья не учитывает действие криптографических вирусов-вымогателей, распространяющихся в ходе рекламных кампаний, за исключением упомянутых SpiderLabs, включающих TeslaCrypt, о котором известно на текущий момент, что он инфицирует только компьютеры под управлением Windows. Но с учетом того, что на прошлой неделе был найден зловред-вымогатель под Mac, пользователям всех платформ следует воспринять угрозу со всей серьезностью.

Источник: Arstechnica