Radiografia unei campanii de Malvertising care a afectat milioane de utilizatori de pe patru continente
2 min read
Într-un clasament personal al celor mai periculoase locuri din lume, aș include în top si mediul online. Mare parte din populația globului a avut cel puțin o interacțiune cu mediul online și cred că puțini sunt cei care până în prezent n-au trecut prin episodul terorizant al infectării calculatorului cu un virus. Internetul e asaltat de crimeware, ransomware, malware, viruși, troieni, phishing, kit-uri de exploatare, malvertising. Și lista poate continua.
Gradul mare de periculozitate al mediului online este dat mai ales de faptul că atacurile s-au sofisticat atât de mult, încât pentru utilizatorii obișnuiți au devenit invizibile și insesizabile. Însă afectează milioane de oameni de pe tot globul.
Să luăm, de pildă, cea mai recentă campanie de malvertising, care a afectat o multitudine de site-uri și, implicit, utilizatori din America de Nord, Europa, Asia Pacific și Orientul Mijlociu.
Malvertising reprezintă un tip de atac ce poate infecta utilizatorii cu viruși, prin reclame găzduite chiar și pe site-uri legitime. Iar aceste reclame devin o poartă de intrare (gate) pentru kit-urile de exploatare (exploit kits), care se pot schimba și pot evolua de-a lungul timpului.
ShadowGate este numele pe care Talos l-a dat unei porți de intrare speciale, deoarece folosește tehnica creării unei copii a domeniului prin furtul datelor de înregistrare (domain shadowing) pentru a găzdui activitatea. Nu e o poartă nouă, a apărut la începutul lui 2015, însă particularitatea ei e dată de volumul traficului vs. volumul redirecționărilor. Cercetările anterioare ale Talos au relevat că au existat peste 900.000 de încercări de interacțiune cu ShadowGate, însă numai 0,1% din aceste interacțiuni au condus către un kit de exploatare.
Unul dintre cele mai interesante aspecte ale acestei campanii a fost acoperirea la nivel global. Totul a început prin observarea traficului pe site-urile de metale prețioase și s-a extins rapid către site-uri chineze asociate cu tehnologia informației. Redirecționarea a continuat cu Asia Pacific, către un grup de site-uri de retail localizate în Noua Zeelandă și Australia. A urmat Orientul Mijlociu, Talos descoperind redirecționări pe site-ul echipei de fotbal Al Hilal din Arabia Saudită. Analiza a relevat că au mai fost afectate site-urile unei importante universități americane, pagina unui ziar dintr-un mare oraș din SUA, un forum polonez dedicat pasionaților de ciclism și pagina de prezentare a unui important oraș din Canada. Au mai fost afectate site-uri asociate cu informații financiare, vânzări/licitații de arme și fumat. Talos a găsit și cazuri asociate cu site-urile pentru adulți, exemple comune pentru campaniile de malvertising în general.
Rezultatul acestei investigații a fost descoperirea unei campanii de malvertising de mare amploare, care a compromis fără discriminare utilizatori din întreaga lume.
Talos a notificat GoDaddy – una din cele mai mari companie de vânzare şi gestionare a domeniilor pe Internet – despre domeniile care găzduiau ShadowGate, iar amenințarea a fost soluționată cu succes. Din păcate, campania va rămâne inactivă doar pentru o scurtă perioadă de timp, însă până atunci utilizatorii sunt protejați.
La scurt timp după ce GoDaddy a închis domeniile asociate cu campania de malvertising o a doua campanie a fost descoperită. Aceasta a țintit Europa, site-uri din Italia, Spania, Bulgaria, Suedia și Slovacia fiind gazdele unor reclame dăunătoare. Și această campanie a fost oprită, însă e cert că atacatorii nu se vor opri, iar metodele de atac vor continua să evolueze.