RoughTed ist eine groß angelegte Malvertising Kampagne, die in diesem Jahr einen Höchststand im März sah aber seit mindestens einem Jahr aktiv. Sowohl Windows als auch Mac-Betriebssysteme werden gezielt, sowie iOS und Android. Die Bedienung ist sehr selten in seiner Reichhaltigkeit, eine Vielzahl von bösartigen Ansätzen genutzt hat, von Kits zum Online-Betrug ausnutzen wie gefälschten Tech-Support-Betrug, gefälschte Updates, Rogue-Browser-Erweiterungen, und so weiter.
RoughTed wurde auch unter Verwendung von Geolocation nachzuweisenden relevanten Nutzlasten auf die genauen Opfer zu liefern. Eines der kürzlich eingesetzten Nutzlasten ist der berüchtigte Cerber Ransomware.
RoughTed Malvertising Kampagne im Detail
Jérôme Segura, Forscher an Malwarebytes, geschätzt, dass der Verkehr über Domains RoughTed Zusammenhang geschickt angesammelt mehr als eine halbe Milliarde Hits. Dieser Verkehr führte auch zu vielen erfolgreichen Infektionen und das ist keine Überraschung, da es mit hochwirksamen Methoden kombiniert wurde, die Benutzer und Bypass-Ad-Blocker locken.
Wer hinter der Malvertising Kampagne hat auch die Amazon-Cloud-Infrastruktur wurde die Nutzung, vor allem seines Content Delivery Network. Dies ist jedoch nur ein kleiner Teil des Puzzles, wo ad Umleitungen aus verschiedenen Ad-Börsen gemischt wird in den Betrieb zu machen Entzifferung eines ziemliche Herausforderung.
Mehrere Faktoren in diesem Betrieb abheben. Die Forscher konnten feststellen, dass der Verkehr aus Tausenden von Verlagen kommt, und einige von ihnen wurden sogar in Alexas bestplatzierten 500 Webseiten. Eine weitere Tatsache, die erwähnenswert ist, dass die damit verbundenen Domains angesammelt mehr als eine halbe Milliarde Besucher nur in der Vergangenheit 3 Monate.
Fingerabdrücke und Tricks zu umgehen Ad-Blocker wurden auch in den Malvertising Kampagnen enthalten. Das Schlechteste, jedoch, ist, dass RoughTed eine Reihe von bösartigen Payloads auf verschiedenen Plattformen liefern im Bereich von Online-Betrug zu Malware und Ransomware geholfen hat.
Die Forscher beobachteten RoughTed Kampagnen eng und bemerkte die roughted[.]mit Referrer, die die RIG wurde Umleitung Exploit-Kit. Während sie ihre Datensatz Bergbau, sie begannen, dieses Muster für mehr als hundert andere Bereiche zu sehen.
Die meisten dieser Domänen wurden über die EvoPlus Registrar in kleinen Chargen mit einer neuen .ru oder .UA E-Mail-Adresse erstellt. Eine weitere Ähnlichkeit dass diese Domänen teilen, ist, dass sie eingesetzt werden als ein mittlerer Ad-Blocker umgehen.
Der größte Teil des Verkehrs für die Kampagne kommt von Video-Streaming oder Datei-Sharing-Sites in Kombination mit URL Shortener, die eine typische Sache für Malvertising ist.
Wie kürzlich bekannt gegeben, viele der Domains auf Alexas bestplatzierten 1000. Die Besucher dieser Websites sind mit Anzeigen gezielt von denen einige aus RoughTed stammen.
Sucure Forscher, andererseits, machte eine andere merkwürdige Beobachtung in Bezug auf die Beteiligung von ‚persönlichen‘ Websites im Malvertising Kampagne. Offenbar, Webmaster integriert wissentlich eine Anzeige Code Skript von Werbeunternehmen Ad-Maven in die Seiten ihrer Website zu monetarisieren.
Mac-Maschinen auch Targeted
Mac-Besitzer sollten sich auch bewusst dieser Malvertising Kampagne. Ein gefälschter Flash Player Update wurde Targeting Mac-Nutzer erkannt, als Datei getarnt, die von Apple kommt. Es ist unnötig zu sagen, aber die Benutzer sollten besonders vorsichtig mit Updates sein, die „bedient“ Auf diese Weise werden. Leider, Cyber-Kriminelle sind sehr gut auf schwierige Seiten zu schaffen und auch Scareware Taktik kann die Wahrscheinlichkeit eines erfolgreichen Kompromiss verbessern.
Das Betriebssystem Windows, andererseits, wurde mit gefälschtem Updates für Java und Flash gezielt, und auch mit gefälschten Codecs. Seiten trickst Benutzer in eine solche gefälschte Updates installiert sind mit Adware gemischt.
Chrome Gezielte mit Rogue-Browser-Erweiterungen
Obwohl Chrome wird oft als eines der sichersten Browser, es wurde ein Opfer der RoughTed Kampagne gefallen. Benutzer können sogar gezwungen werden, bösartige Chrome-Erweiterungen zum Download. Das Pop-Up zum Download führenden kann einen Text wie „In Erweiterung verlassen“Oder etwas Derartiges.
Außerdem, sowohl iOS und Android erscheinen durch die Kampagne ausgerichtet werden.
In einer Nussschale, Forscher sagen, dass es wirklich lästig ist, die Tatsache, dass Ad-gestützte Inhalte bereitgestellt wird Betrug oder Malware zu verbreiten. Was noch schlimmer ist, dass auch Nutzer mit Ad-Blocker nicht verschont werden und fallen Opfer auf die Kampagne. Wer ist verantwortlich? Ist es die Werbenetzwerke oder ist es die Verlage, die absichtlich Benutzer bösartigen Code im Interesse der Werbeeinnahmen aussetzen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir:
Haben Sie es seltsam finden, dass im März begann alles? Das März-Updates von MS? Diejenigen, die mich aufgeschraubt haben, sich aus 500 Stunden Arbeitszeit! Grrrr! Haben alle Arten von Programmen aus allen Arten von Dienstleistungen laufen und kann nichts auf meinem Computer finden, die angeblich nicht dort sein, aber heutzutage, Ich bin wirklich nicht sicher, was angenommen hat, es trotzdem sein!!
Ja, Microsoft hat eine Menge Arbeit zu tun, darüber, wie sie Updates präsentieren… Ich habe Benutzer, die nicht in der Lage sind zu sehen, etwas zu tun nicht einmal ihre Arbeit speichern und nur für die Countdown-Timer warten zu laufen und ihr Computer neu gestartet, da die Updates viel zu lange verzögert wurden, und sie haben eingerichtet werden.. nervt wirklich.. PS: dies war auf 8, ich glaube..