Adware generelt ikke falder i samme kategori som ondsindet software. Men, en nylig undersøgelse foretaget af forskere på Concordia University i Montreal, Canada, afslører, at adware er faktisk meget lig skadelig kode og dens teknikker.
For at bevise, at, forskere Xavier de Carne de Carnavalet og Mohammad Mannan analyseret en velkendt spiller på det adware virksomhed er kendt som Wajam.
forskerne undersøgt udviklingen af Wajam i løbet af næsten seks år. Fra 2016, afsløret af Kontoret for Privacy Commissioner of Canada, Wajam havde ”hundreder af millioner af installationer”Og indsamlet 400TB af private oplysninger fra brugere, hedder det i rapporten.
Wajam har eksisteret siden 2013. I fortiden, det blev annonceret som en social søgning browser add-on, der giver brugerne mulighed for at finde, hvad information er blevet søgt på nettet eller deles af deres venner på sociale platforme som Twitter og Facebook. Da dette er en annonce-understøttet browser plug-in, Wajam er kendt for at vise forskellige reklamer, som nogle brugere finder temmelig irriterende. Hvad tænder Wajam til et potentielt uønsket program er risikoen for forskellige infektioner, der er involveret med pop-up, banner og in-tekstannoncer, hvilket kan få brugeren til at ubekræftede og usikre websider.
Med andre ord, Wajam har været kendt for at injicere annoncer i browseren trafik, bruger teknikker, malware operatører brug, såsom man-in-the-browser (browser proces injektion) angreb ses i Zeus operationer. Andre eksempler omfatter anti-analyse og undvigeteknikker, sikkerhedspolitik nedgradering og data lækage.
Relaterede: Lenovo når $7.3 Million Afregning Efter Superfish Adware sammenbrud
248 Domain Names associerede med Wajam
Under deres undersøgelse, forskerne sporet 248 domænenavne bruges af Wajam, som findes i Code Signing certifikater, hardcodede URL'er i prøver, regler annonce injektion, andre domæner, der blev hostet samtidig fra den samme IP-adresse, og de, erklærede i juridiske dokumenter i virksomheden.
Det er meget vigtigt at bemærke, at:
på tværs af generationer, Wajam stigende gør brug af adskillige anti-analyse og undvigeteknikker herunder: en) indlejrede installatører, b) steganografi, c) snor og bibliotek opkald formørkelse, d) krypterede strygere og filer, e) dyb og diversificeret døde kode, f) polymorfe ressourcer, g) gyldige digitale signaturer, h) randomiserede filnavne og rodcertifikat almindelige navne, Jeg) krypterede opdateringer, og j) daglig frigivelse af polymorfe varianter.
Wajam er også designet til at implementere anti-afsløring funktioner lige fra deaktivere Windows Malicious Software Removal Tool (MRT), selv-minus installation stier fra Windows Defender, og i andre tilfælde implementering rootkit kapaciteter til at skjule sin installation mappe fra brugere.
Top,, eksperterne afsløret et separat stykke adware, identificeret som OtherSearch, der genbruger den samme model og nogle af de samme teknikker som Wajam, undertiden i en mere avanceret måde. Denne ”tilfældighed” sandsynligvis betyder en fælles tredjepart, der giver en formørkelse rammer for både adware virksomheder, og der kan være andre samt.
Rapporten taler også om en række sikkerhedshuller forskerne opdaget, der har udsat millioner af brugere i de sidste fire år til potentiel vilkårlig indhold injektion, man-in-the-middle (MITM) angreb, og fjernkode (RCE):
Som den tredje generation af Wajam udnytter browser proces injektion, det injicerede indhold er til stede på websiden uden sin HTTPS certifikat bliver ændret, forhindre endnu en opmærksom bruger fra at detektere manipulation. Desuden, Wajam systematisk nedjusterer sikkerheden på en række hjemmesider ved at fjerne deres indhold sikkerhedspolitik (CSP), f.eks, facebook.com, og andre securityrelated HTTP-headere fra serverens svar.
Ad injektorer, især, er en del af langvarige PPI (pay-per-installation) kampagner, som det fremgår af en anden rapport dedikeret til distribution af uønsket software, der blev offentliggjort i 2016. Med henblik på rapporten, forskere fra Google, New York University, og International Computer Science Institute fokuseret på fire PPI søsterselskaber (Og netize, InstallMonetizer, OpenCandy, og Outbrowse) og regelmæssigt hentede softwarepakker til analyse.
Relaterede: Pay-per-Install Affiliate Business - At tjene millioner af adware
Ad injektorer ændre en brugers søgeoplevelse til at erstatte eller indsætte yderligere reklamer, der ellers ikke ville blive vist på en hjemmeside. Hver PPI netværk forskerne overvåges for rapporten deltog i fordelingen af ad injektorer.
Symantecs forskere har tidligere kaldt den pay-per-installere forretningsmodel ”den nye malware distributionsnet", understreger på det faktum, at i den nærmeste fortid malware (ligesom orme) blev selvstændig formerings med hjælp af server-side sårbarheder.
Mere om Wajam
Wajam Internet Technologies Inc. blev oprindeligt hovedsæde i Montreal, Canada. Deres produkt sigter mod at øge søgeresultaterne i en række hjemmesider (f.eks, Google, Yahoo, Ask.com, Expedia, Wikipedia, Youtube) med indhold udvundet fra en brugers sociale medier tilslutninger (f.eks, Twitter, Facebook, Google , LinkedIn). Wajam blev først udgivet i oktober 2011, relanceret som Social2Search i maj 2016, derefter som SearchAwesome i august 2017. Rapporten bruger navnet Wajam flæng i hele papiret til at henvise til den virksomhed eller den software, de udviklede. For at få indtægter, Wajam indsætter annoncer i browseren trafik. Virksomheden gradvist mistet sin forbindelse med sociale medier og blev rent adware i 2017, rapporten afsløret.