RoughTed malvertising Kampagne Nederlag Ad-blokkere
CYBER NEWS

RoughTed malvertising Kampagne Nederlag Ad-blokkere

RoughTed er et storstilet malvertising kampagne, der oplevede et højdepunkt i marts i år, men har været aktiv i mindst et år. Både Windows og Mac operativsystemer er målrettet, samt iOS og Android. Operationen er ret sjælden i sin alsidighed, har anvendt en række forskellige ondsindede henvendelser fra at udnytte kits til online svindel såsom falske teknisk support svindel, falske opdateringer, slyngelstater browserudvidelser, og så videre.

RoughTed er også blevet opdaget ved hjælp af geolocation at levere relevante nyttelast til de nøjagtige ofre. En af de nyligt udsendte nyttelast er den berygtede Cerber ransomware.

relaterede Story: CVE-2017-0022 Indsat i AdGholas malvertising og Neutrino EK

RoughTed malvertising kampagne i Detail

Jérôme Segura, forsker på Malwarebytes, anslået, at den trafik sendes via domæner relateret til RoughTed akkumuleret mere end en halv milliard hits. Denne trafik førte også til mange succesfulde infektioner, og det er ikke nogen overraskelse, da det blev kombineret med yderst effektive metoder, der lokker brugere og bypass ad-blokkere.

Hvem står bag malvertising kampagnen har også været at udnytte Amazon cloud-infrastruktur, især dens Content Delivery Network. Dette er dog kun en lille del af puslespillet, hvor ad omadresseringer fra diverse ad børser blandes i at gøre dechifrere driften ganske udfordrende.

Flere faktorer i denne operation skiller sig ud. Forskere var i stand til at fastslå, at trafikken kommer fra tusindvis af udgivere, og nogle af dem var endda rangeret i Alexa top 500 hjemmesider. Et andet forhold, der er værd at nævne, er, at de tilknyttede domæner samlet mere end en halv milliard besøg kun i fortiden 3 måneder.

Fingeraftryk og tricks udenom ad-blokkere blev også inkluderet i malvertising kampagner. Det værste, dog, er, at RoughTed har hjulpet levere en række ondsindede nyttelast på forskellige platforme, lige fra internetsvindel til malware og ransomware.

Forskerne observerede RoughTed kampagner nøje og bemærket roughted[.]med henvisende, som omdirigere til RIG udnytte kit. Mens de minedrift deres datasæt, de begyndte at se, at mønstret i mere end hundrede andre domæner.

relaterede Story: A Bot krig mod Windows Tech Support svindel er begyndt

De fleste af disse domæner blev skabt via EvoPlus registrator i små partier med en ny .dk eller .ua emailadresse. En anden lighed, at disse domæner deler, er, at de bliver indsat som et middel til at omgå ad-blokkere.

Det meste af trafikken for kampagnen kommer fra streaming video eller fildeling sites i kombination med URL afkortere, som er en typisk ting for malvertising.

Som tidligere nævnt, mange af de domæner er rangeret på Alexa top 1000. Besøgende på disse websteder er målrettet med annoncer hvoraf nogle stammer fra RoughTed.

Sucure forskere, på den anden side, gjorde en anden nysgerrig bemærkning om inddragelse af ’personlige’ hjemmesider i malvertising kampagne. Tilsyneladende, webmasters bevidst integreret en annoncekoden script fra reklame firma Ad-Maven ind i deres sider til at tjene penge på deres hjemmeside.


Mac Maskiner Også Målrettede

Mac-ejere bør også være opmærksomme på dette malvertising kampagne. En falsk Flash Player opdatering er blevet opdaget rettet mod Mac-brugere, masqueraded som en fil, der kommer fra Apple. Det er unødvendigt at sige, men brugere bør være ekstra forsigtig med opdateringer, der ”tjente” på denne måde. Desværre, cyberkriminelle er meget god til at skabe vanskelige sider og kan lige så godt bruge scareware taktik for at forbedre chancen for et vellykket kompromis.

Windows-operativsystemet, på den anden side, er blevet rettet med falske opdateringer til Java og Flash, og også med falske codecs. Sider narre brugere til at installere sådanne falske opdateringer blandes med adware.

relaterede Story: Hvordan man kan opdage og fjerne Phishing (falsk) websider

Krom Målrettet med Rogue Browserudvidelser

Selvom Chrome er ofte omtalt som en af ​​de sikreste browsere, det er blevet offer for den RoughTed kampagne. Brugerne kan endda blive tvunget til at hente skadelige Chrome udvidelser. Pop-up, der fører til download kan indeholde en tekst som ”Tilføj udvidelse til at forlade”Eller noget af den slags.

Desuden, både iOS og Android ser ud til at blive ramt af kampagnen.

I en nøddeskal, Forskerne siger, at det er virkelig generende, det faktum, at ad-støttede indhold er indsat til at distribuere svindel eller malware. Hvad værre er, at selv brugere med Ad-blokkere ikke er sparet og falder ofre til kampagnen. Hvem er ansvarlig? Er det de annoncenetværk eller er det de udgivere, der bevidst udsætter brugere til skadelig kode af hensyn til annonceindtægter.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

2 Kommentarer

  1. AvatarTerry Licia

    Do you find it odd that it all started in March? The March updates from MS? The ones that have screwed me out of about 500 hours of WORK TIME! Grrrr! Have run all kinds of programs from all kinds of services and can find nothing on my computer that is not supposed to be there, but nowadays, I’m really unsure of what’s supposed to be there anyway!!

    Svar
    1. AvatarVencislav Krústev

      Ja, Microsoft have a lot of work to do, regarding how they present updatesI have seen users who are unable to do anything not even save their work and just wait for the countdown timer to run out and their computer restarts, because the updates have been delayed for far too long and they have to be set up.. really gets on your nerves.. PS: this was on 8, i belive..

      Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...