Wirus z adserwera

Nawet firmy przykładające dużą wagę do bezpieczeństwa mogą paść ofiarą ataków, w których do przemycenia złośliwego kodu wykorzystywane są treści dystrybuowane przez serwery reklam.

Jedną z ofiar takiego ataku stała się firma Yahoo!. Według firmy Fox IT, która jako pierwsza wykryła ten incydent, zagrożonych było 300 tys. użytkowników, z czego szacunkowo zainfekowanych zostało 9%. Po tym, gdy adserwer został wykorzystany do infekowania komputerów osób odwiedzających strony serwisów Yahoo!, firma podjęła starania, aby zmienić swój model serwowania reklam i uniknąć w przyszłości podobnych przypadków.

W tej sytuacji przygotowano spreparowaną reklamę, która wykorzystywała lukę w Javie do zainfekowania komputera ofiary. Po udanej infekcji przestępcy uzyskiwali możliwość zdalnego kontrolowania danej maszyny. Z reguły włamywacze monetyzują udany atak, odsprzedając dostęp do zainfekowanych maszyn grupom przestępczym, które używają następnie te maszyny, np. do rozsyłania spamu.

Zobacz również:

Na pocieszenie Yahoo! pozostaje fakt, że liczbę zainfekowanych reklam w 2012 r. szacuje się na 10 mld. Tego rodzaju ataki określa się terminem malvertising, a świadomość płynącego z nich zagrożenia jest coraz większa.

Szkodnik o wielu twarzach

Ataki typu malvertising są bardzo nieprzyjemne, ponieważ dają hakerom możliwość zastosowania różnych technik infekowania komputerów. Teoretycznie, mogło być tak, że spreparowane reklamy zostały umieszczone bezpośrednio na zhakowanych serwerach reklam Yahoo!, ale jest to najtrudniejszy wektor ataku. Serwery w dużych korporacjach są zwykle dobrze zabezpieczone, jednak o całkowitym bezpieczeństwie nie ma mowy.

Bardziej prawdopodobny jest inny scenariusz. Atakujący zapewne przekazali zainfekowane reklamy, podszywając się pod reklamodawcę. Owszem, sieci reklamowe testują otrzymane pliki pod kątem obecności szkodliwego oprogramowania. Jednak takie testy nigdy nie będą doskonałe, a wiedza o ich słabościach to chodliwy towar na czarnym rynku.

Doświadczony włamywacz może nawet nie umieszczać szkodliwego kodu w samej reklamie, co gwarantuje mu przejście testów bezpieczeństwa. Zamiast tego reklama może kierować użytkowników do niebezpiecznej strony www. Witryna może zawierać całkowicie niewinne treści w momencie zgłaszania reklamy, a później jej treść zostaje podmieniona na szkodliwą.

Pojawiały się już bardziej wyrafinowane ataki, które stosują geolokalizację do precyzyjnego dostarczania szkodliwego kodu. Tę technikę wykorzystano właśnie w ataku na Yahoo!. Zainfekowane reklamy wyświetlały się tylko internautom z Europy.


TOP 200