Malvertising – cichy zabójca?

Złośliwe reklamy na stronach WWW nie są niczym nowym – internauci oraz specjaliści ds. bezpieczeństwa zmagają się z tym zjawiskiem od lat. Jednak ostatnio problem narasta: reklam zawierających złośliwe oprogramowanie jest coraz więcej, a na dodatek te najnowsze potrafią skutecznie zaatakować system nawet, jeśli użytkownik nie zrobi nic, poza ich wyświetleniem.

Internetowi przestępcy już kilka lat temu zainteresowali się reklamami na stronach WWW jako potencjalnym nośnikiem złośliwego oprogramowania – i właściwie trudno im się dziwić, bo z ich punktu widzenia jest to idealne narzędzie. Internetowe reklamy są jednym z niewielu typów treści, nad którą większość właścicieli stron ma tylko minimalną kontrolę – bo większość reklam dostarczanych jest przez zewnętrzne sieci reklamowe (operator strony dostarcza wyłącznie przestrzeń pod bannery).

To otwiera przed autorami złośliwego oprogramowania zupełnie nowe możliwości: jeśli uda im się np. wprowadzić złośliwe reklamy do jednej sieci reklamowej, treści te mogą automatycznie pojawić się na wielu witrynach, również takich powszechnie uważanych za bezpieczne (w ostatnich latach celami takich ataków były np. witryny Forbes, Huffington Post czy Daily Mail).

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach

325% więcej zainfekowanych reklam

Nic więc dziwnego, że przestępcy coraz chętniej korzystają z zainfekowanych reklam – z raportu "The Rise of Malvertising" opublikowanego przez firmę Cyphort wynika, że w ubiegłym roku liczba przypadków wykorzystywania reklam do dystrybuowania złośliwego oprogramowani wzrosła o… 325% (w porównaniu z rokiem poprzednim), zaś rekordowe wyniki odnotowano minionego lata. Podobne wyniki analiz wskazujące na wzrost zagrożenia są też publikowane w innych raportach.

„Pod względem technologicznym reklamy są idealnym narzędziem dla twórców złośliwego oprogramowania i ci chętnie z tego korzystają” – wyjaśnia Fengmin Gong, współzałożyciel i CSO Cyphort. „Jeśli ten problem nie zostanie wkrótce rozwiązany, może to mieć katastrofalne skutki dla branży reklamowej – użytkownicy poczują się zagrożeni i zaczną masowo instalować oprogramowanie do blokowania reklam” – dodaje Gong.

Specjaliści ds. bezpieczeństwa ukuli zresztą nowy termin, określający dystrybuowanie złośliwego oprogramowania za pomocą reklam – to „malvertising”. Wyróżnikiem tego zjawiska jest wysoka skuteczność, możliwa do osiągnięcia m.in. dlatego, że przestępcy zaangażowani w malvertising potrafią w kreatywny sposób korzystać z najnowszych exploitów, co sprawia, że użytkownik nie musi nic zrobić, by jego system został skutecznie zaatakowany oraz dlatego, że atak zwykle pochodzi z witryny, którą użytkownik doskonale zna i z której nie spodziewa się żadnego zagrożenia.

Wirusy na zaufanych stronach

„To typowy scenariusz – jesteś na witrynie, którą odwiedzałeś w przyszłości 1000 razy i na której za sprawą przyzwyczajenia właściwie nie widzisz już reklam. Problem w tym, że reklamy, które wyświetlasz i ignorujesz są obecnie kontrolowane przez przestępców i cały czas próbują złamać zabezpieczenia twojego komputera, wykorzystując do tego luki w przeglądarce, czytniku PDF czy odtwarzaczu Flash. Takie próby trwają czasami długo, ale zwykle w końcu okazują się skuteczne” – komentuje John Wilson, CTO firmy Agari.

“Złośliwe oprogramowanie ukryte w reklamach robi się tak popularne również z uwagi na rosnący poziom skomplikowania reklam internetowych. Współcześnie są one zdecydowanie bardziej złożone niż znane z przeszłości proste bannery czy buttony – to skomplikowane porcje kodu, w których łatwo ukryć dodatkową, złośliwą zawartość. Musimy mieć świadomość, że z technologicznego punktu widzenia reklamy są wręcz idealnym nośnikiem wirusów” – dodaje Fengmin Gong.

Dodatkowym problemem jest fakt, iż współczesne złośliwe oprogramowanie przez długi czas działa niezauważalnie dla użytkownika i wiele osób nigdy nie skojarzy uaktywnienia się w systemie wirusa z reklamami wyświetlanymi na stronie. „Typowy klient zwykle dowiaduje się, że ma w systemie złośliwe oprogramowania gdy zauważa, że z jego internetowego konta wyparowała znaczna kwota. Mało kto rozumie, co się wtedy tak naprawdę stało” – mówi John Wilson.

Niestety, typowy użytkownik niewiele może zrobić by zabezpieczyć się przed takim atakami – oczywiście poza korzystaniem ze zaktualizowanego oprogramowania zabezpieczającego i pamiętaniem o instalowaniem poprawek dla popularnych aplikacji (aczkolwiek to drugie nie zawsze musi okazać się skuteczne – przestępcy często korzystają z luk typu zero-day).

Rozwiązanie problemu powinno zostać wdrożone po stronie dostawców reklam – poprzez stworzenie odpowiednich mechanizmów weryfikujących kod reklam, a także tzw. białych list zaufanych dostawców treści reklamowych. „Na miejscu takich firm nie wahałbym się wprowadzić do systemu reklam przesłanych przez IBM, Della czy Oracle… ale zastanowiłbym się i podjął dodatkowe działania, zanim zacząłbym emitować reklamy przesłane przez nieznanego mi wcześniej tajemniczego kontrahenta” – dodaje Wilson.

Kowsik Guruswamy, CTO firmy Menlo Security, potwierdza, że wielu dostawców reklam w niewystarczającym stopniu dba o bezpieczeństwo swoich klientów – z analiz przeprowadzonych przez Menlo Security (State of the Web 2015: Vulnerability Report) wynika, że jedna trzecia z miliona najpopularniejszych na świecie stron WWW korzysta z przynajmniej jednego niezaktualizowanego systemu lub aplikacji. „Często widujemy oprogramowanie serwerowe w wersji z roku np. 2010, które roi się od znanych i wykorzystywanych przez przestępców błędów w zabezpieczeniach” – mówi Kowsik Guruswamy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200