Kyle og Stan – En helt ny malvertising netværk har påvirket Windows og Mac brugere, der besøger populære websider som amazon.com og youtube.com siden maj i år. De cyberkriminelle bruger Yahoo, Amazon og YouTube-domæner til at inficere brugere med adware, spyware og browser flykaprere. At tjene malware via online-reklamer er et alvorligt og vedvarende problem på nettet, som sikrer, at diverse malware spredes via annoncenetværk til brugerne af populære websider.
Karakteren af Kyle og Stan malvertising Netværk
Den ondsindede netværk har fået navnet Kyle og Stan er baseret på, at skaberne af malvertising nettet inkluderet "Kyle" og "stan" i hundreder af deres underdomæner. Hidtil har dette netværk består af mere end 700 domæner fra 74 populære steder og har skabt 9 541 forbindelser til potentielle ofre. Fordi de domæner, der anvendes af netværket har en distinkt navngivning mønster, sikkerhedseksperter mener, at dette er kun "toppen af isbjerget.” Et sådant mønster antyder, at et stort antal domæner automatisk registreret.
“Det store antal domæner kan angriberne til at bruge en bestemt domæne bare for en meget kort tid, brænde det og gå videre til at bruge en anden til fremtidige angreb. Dette hjælper undgå omdømme og sortliste baseret sikkerhedsløsninger. Alt i alt står vi over for en meget robust og velkonstruerede malware levering netværk, der ikke vil blive taget ned, indtil hjernerne bag dette er identificeret,” forklarer Armin Pelkmann fra Ciscos Talos Security Research Team.
Specialfremstillede og pakket enkeltvis: Et unikt stykke malware for hver bruger
Malvertising fungerer på følgende måde: den inficerede reklamen er indsat i strømmen af en allerede aktiv online-annonce-netværk, der leverer den til de forskellige websider. Så snart brugeren klikker nej annoncen, han bliver omdirigeret til en anden hjemmeside, hvor brugeren lokkes til at installere malware på sin computer via social engineering taktik. Dette er også infektionen mønster, der anvendes af Kyle og Stan. Forskere rapporterer, at Mac-og Windows-brugere omdirigeres til anden malware, så begge OS blive smittet. Hidtil angriberne bruge en bred vifte af spyware, adware og browser flykaprere, men andre typer af malware, kan også komme i spil i fremtiden. De pipetter anvendes i denne ordning baseres på kryptering med henblik på at erhverve en anden kontrolsum for hver trussel.
Folkene bag den malvertising netværk er ikke blevet identificeret hidtil. Det har været aktiv siden maj i år, med høj aktivitet registreret i juni og juli.
