RoughTed er et storstilet malvertising kampagne, der oplevede et højdepunkt i marts i år, men har været aktiv i mindst et år. Både Windows og Mac operativsystemer er målrettet, samt iOS og Android. Operationen er ret sjælden i sin alsidighed, har anvendt en række forskellige ondsindede henvendelser fra at udnytte kits til online svindel såsom falske teknisk support svindel, falske opdateringer, slyngelstater browserudvidelser, og så videre.
RoughTed er også blevet opdaget ved hjælp af geolocation at levere relevante nyttelast til de nøjagtige ofre. En af de nyligt udsendte nyttelast er den berygtede Cerber ransomware.
RoughTed malvertising kampagne i Detail
Jérôme Segura, forsker på Malwarebytes, anslået, at den trafik sendes via domæner relateret til RoughTed akkumuleret mere end en halv milliard hits. Denne trafik førte også til mange succesfulde infektioner, og det er ikke nogen overraskelse, da det blev kombineret med yderst effektive metoder, der lokker brugere og bypass ad-blokkere.
Hvem står bag malvertising kampagnen har også været at udnytte Amazon cloud-infrastruktur, især dens Content Delivery Network. Dette er dog kun en lille del af puslespillet, hvor ad omadresseringer fra diverse ad børser blandes i at gøre dechifrere driften ganske udfordrende.
Flere faktorer i denne operation skiller sig ud. Forskere var i stand til at fastslå, at trafikken kommer fra tusindvis af udgivere, og nogle af dem var endda rangeret i Alexa top 500 hjemmesider. Et andet forhold, der er værd at nævne, er, at de tilknyttede domæner samlet mere end en halv milliard besøg kun i fortiden 3 måneder.
Fingeraftryk og tricks udenom ad-blokkere blev også inkluderet i malvertising kampagner. Det værste, dog, er, at RoughTed har hjulpet levere en række ondsindede nyttelast på forskellige platforme, lige fra internetsvindel til malware og ransomware.
Forskerne observerede RoughTed kampagner nøje og bemærket roughted[.]med henvisende, som omdirigere til RIG udnytte kit. Mens de minedrift deres datasæt, de begyndte at se, at mønstret i mere end hundrede andre domæner.
De fleste af disse domæner blev skabt via EvoPlus registrator i små partier med en ny .dk eller .ua emailadresse. En anden lighed, at disse domæner deler, er, at de bliver indsat som et middel til at omgå ad-blokkere.
Det meste af trafikken for kampagnen kommer fra streaming video eller fildeling sites i kombination med URL afkortere, som er en typisk ting for malvertising.
Som tidligere nævnt, mange af de domæner er rangeret på Alexa top 1000. Besøgende på disse websteder er målrettet med annoncer hvoraf nogle stammer fra RoughTed.
Sucure forskere, på den anden side, gjorde en anden nysgerrig bemærkning om inddragelse af ’personlige’ hjemmesider i malvertising kampagne. Tilsyneladende, webmasters bevidst integreret en annoncekoden script fra reklame firma Ad-Maven ind i deres sider til at tjene penge på deres hjemmeside.
Mac Maskiner Også Målrettede
Mac-ejere bør også være opmærksomme på dette malvertising kampagne. En falsk Flash Player opdatering er blevet opdaget rettet mod Mac-brugere, masqueraded som en fil, der kommer fra Apple. Det er unødvendigt at sige, men brugere bør være ekstra forsigtig med opdateringer, der ”tjente” på denne måde. Desværre, cyberkriminelle er meget god til at skabe vanskelige sider og kan lige så godt bruge scareware taktik for at forbedre chancen for et vellykket kompromis.
Windows-operativsystemet, på den anden side, er blevet rettet med falske opdateringer til Java og Flash, og også med falske codecs. Sider narre brugere til at installere sådanne falske opdateringer blandes med adware.
Krom Målrettet med Rogue Browserudvidelser
Selvom Chrome er ofte omtalt som en af de sikreste browsere, det er blevet offer for den RoughTed kampagne. Brugerne kan endda blive tvunget til at hente skadelige Chrome udvidelser. Pop-up, der fører til download kan indeholde en tekst som ”Tilføj udvidelse til at forlade”Eller noget af den slags.
Desuden, både iOS og Android ser ud til at blive ramt af kampagnen.
I en nøddeskal, Forskerne siger, at det er virkelig generende, det faktum, at ad-støttede indhold er indsat til at distribuere svindel eller malware. Hvad værre er, at selv brugere med Ad-blokkere ikke er sparet og falder ofre til kampagnen. Hvem er ansvarlig? Er det de annoncenetværk eller er det de udgivere, der bevidst udsætter brugere til skadelig kode af hensyn til annonceindtægter.
Synes du, at det hele startede i marts? Marts opdateringer fra MS? Dem, der har skruet mig ud af ca. 500 timers ARBEJDSTID! Grrrr! Har kørt alle slags programmer fra alle former for tjenester og kan ikke finde noget på min computer, der ikke skal være der, men i dag, Jeg er virkelig i tvivl om, hvad der skal være der alligevel!!
Ja, Microsoft har en masse arbejde at gøre, om, hvordan de præsenterer opdateringer… Jeg har set brugere, der ikke er i stand til at gøre noget, ikke engang gemme deres arbejde og bare vente på, at nedtællingstimeren løber ud, og deres computer genstarter, fordi opdateringerne er blevet forsinket alt for længe, og de skal konfigureres.. går virkelig på nerverne.. PS: dette var på 8, Jeg tror..