Podvod technické podpory tlačený zirkoniem zobrazuje ověřená adresa URL společnosti Microsoft, což pro některé lidi usnadňuje trust.Confiant
Minulý rok přinesl na internet nárůst útržkovitých online reklam který se snažil přimět diváky k instalaci škodlivého softwaru. I služba Credit Reporting Equifax byla chycena při přesměrování návštěvníci webových stránek falešného instalátoru Flash jen pár týdnů poté zprávy o narušení dat, které ovlivní až 145,5 milionu USA spotřebitelé.
Nyní vědci odhalili jednu ze sil, která to vedla bodec – konsorcium 28 falešných reklamních agentur. Zobrazí se konsorcium odhadem 1 miliarda zobrazení reklamy v loňském roce, která tlačila škodlivý antivirový software, podvody technické podpory a další podvodné systémy. Pečlivým rozvojem vztahů s legitimních reklamních platforem, reklamy dosáhly 62 procent Týdenní webové stránky zaměřené na reklamu, vědci od bezpečnostní firmy Confiant ve zprávě zveřejněné v úterý. (Confiant daboval konsorciu „Zirconium.“) Reklamy byly doručeno na takzvaných „nucených přesměrováních“, na nichž je web zobrazením redakčního obsahu nebo reklamy se náhle otevřela nová stránka jiná doména.
Confiant CTO Jerome Dangu napsal v e-mailu toto:
Tato vynucená přesměrování jsou technický mechanismus, který může být využívají k poskytování různých škodlivých útoků, od těch cílení na podniky (podvody v souvislosti s přidružením), na ty, které cílí jednotliví uživatelé (podvody typu phishing, škodlivé stahování, falešné aktualizace) atd.) … Tato nucená přesměrování přinejmenším často vytvářejí webové stránky nepoužitelné pro každodenního uživatele [a] v horším případě [návštěvníci] přímo zaútočil. Lidé musí pochopit, kde jsou problémy pocházející z (často majitel webových stránek obviňuje, i když jsou) i oni jsou oběťmi) a jaká jsou pro ně nová rizika na internetu podporovaném reklamou.
Confiant řekl, že většina falešných reklamních agentur má své vlastní webové stránky, účty Twitter a profily výkonných pracovníků na LinkedIn. Jeden taková agentura zvaná ve zprávě je známá jako Grandonmedia, jehož web naléhá na návštěvníky, aby „nakupovali návštěvníky webových stránek naši věrní zákazníci! “Zobrazí se profil Facebooku pro jeho generálního ředitele co se jeví jako fotografie z obchodních společností, stejně jako dříve verze profilu generálního ředitele LinkedIn
Agentury se také spoléhají na strojem generovaný obsah odeslaný z jeho účty na Facebooku a Twitteru. Vydali Grandonmedia roboty obsah včetně “Trvalé vztahy se spolehlivým partnerem jsou klíč k úspěchu v online marketingu “a„ Chcete se zapojit vaše online zisky? Neváhejte a spojte se. “Grandomedia úředníci neodpověděli na zprávy, které se k tomu snažily vyjádřit pošta.
Podtrhujíc, kolik organizátorů práce vložilo do Zirkonia, každá reklamní agentura pracuje s úplně jinou sadou IT nástroje, včetně serverů TLS, registrace domény a zobrazování reklam kód. Účelem reklamních agentur je rozvíjet důvěryhodné vztahy s legitimními reklamními platformami. Dostatek nabídky agentury umožňují jedné agentuře vstoupit a obnovit provoz a partnerská agentura, jakmile se vynucená přesměrování, která tlačí, objeví na světlo. Tak ve skutečnosti bylo použito pouze 20 z 28. Úterní zpráva uvádí jména a adresy URL všech 28 údajně falešných agentur. Společnost Confiant odmítla bezděčně pojmenovat 16 reklamních platforem kované vztahy s agenturami.
„Koncept Zirkonia spočívá v budování nezávislých marketingových značek od nuly, en-masse, “řekl úterní blogový příspěvek.” Rozsáhlé většina [falešných agentur] byla uvedena do provozu v březnu / dubnu 2017 podle do data vytvoření účtu na Twitteru. K datu tohoto psaní osm zůstane nepoužitých, připraveno k využití, když jsou ty v současné době využil vyschnout. “
Aby se zabránilo detekci, servery hostující reklamy fungují nuceně přesměruje velmi selektivně. Před přesměrováním uživatele servery pokuste se otisky prstů jednotlivého prohlížeče inventarizací – uživatelský agent, navštěvující IP adresa, počet CPU a zda je počítač schopen používat WebGL. Otisk prstu pomáhá servery identifikují stroje, které mohou používat výzkumní pracovníci v oblasti bezpečnosti takže nezažívají přesměrování. Zirkonium spoléhá na servery na začátcích [.] com jako centrální brána pro správu poptávky po reklamách. podvodné reklamy mohou být překvapivě účinné. Ten zveřejněný výše používá techniku poprvé popsanou Malwarebytes k zobrazení ověřená adresa URL společnosti Microsoft v rámci technické podpory.
Další čtení
Velké servery, které zasáhla vyrážka škodlivých reklam šířících se kryptom ransomware [Aktualizováno] Použití nucených přesměrování se zvýšilo na tři důvody: 1) Výrobci prohlížečů se stali odolnějšími k řízení využívá, 2) použití často využívaného Adobe Flash pro reklamy odmítl, a 3) bezpečnostní společnosti se zlepšily v odhalování využít kód v online reklamách.
I když není tak efektivní jako zneužití zneužití, které se instaluje ransomware a další typy malwaru bez sociálního inženýrství povinná přesměrování zůstávají přitažlivou alternativou také nákladově efektivní. Dokud nebudou vydavatelé a reklamní platformy lepší organizovat vyřadit skupiny jako Zirconium, přesměrování jsou pravděpodobně zůstane běžnou internetovou hrozbou.
