Adware generalmente no cae en la misma categoría que el software malicioso. Sin embargo, un estudio reciente llevado a cabo por investigadores de la Universidad de Concordia en Montreal, Canada, revela que el adware es de hecho muy similar al código malicioso y sus técnicas.
Para probar que, investigadores Xavier de Carne de Carnavalet y Mohammad Mannan analizaron un jugador muy conocido en el negocio conocido como adware Wajam.
Los investigadores investigado la evolución de Wajam en el transcurso de casi seis años. A partir de 2016, puesto de manifiesto por la Oficina del Comisionado de Privacidad de Canadá, Wajam tenía “cientos de millones de instalaciones”Y recogido 400 TB de información privada de los usuarios, según el informe.
Wajam ha existido desde 2013. En el pasado, estaba anunciado como un navegador de búsqueda social complemento que permite a los usuarios encontrar información que se ha buscado en línea o compartidos por sus amigos en las plataformas sociales como Twitter y Facebook. Como este es un navegador plug-in con publicidad, Wajam se conoce para mostrar varios anuncios que algunos usuarios encuentran bastante molesto. Lo que convierte Wajam en una aplicación potencialmente no deseado es el riesgo de varias infecciones involucrados con el pop-up, anuncios de banner y en texto, que pueden conducir al usuario a páginas web no verificados e inseguros.
En otras palabras, Wajam se ha sabido para inyectar anuncios en el tráfico del navegador, utilizando técnicas que el malware utilizan los agentes, tal como el hombre-en-el-navegador (inyección de proceso del explorador) ataques vistos en operaciones de Zeus. Otros ejemplos incluyen técnicas de evasión anti-análisis y, la seguridad degradación política y la fuga de datos.
Relacionado: Alcances de Lenovo $7.3 Después de millones de Solución Superfish Adware Debacle
248 Los nombres de dominio asociados a Wajam
Durante su investigación, los investigadores rastrearon 248 nombres de dominio utilizado por Wajam, como se encuentra en los certificados de firma de código, URLs codificados en muestras, normas inyectables hasta, otros dominios que fueron recibidos simultáneamente desde la misma dirección IP, y las declaradas en los documentos legales de la empresa.
Es muy importante tener en cuenta que:
A través de las generaciones, Wajam hace cada vez más el uso de varias técnicas de evasión anti-análisis y que incluye: un) instaladores anidados, b) esteganografía, c) cuerda y la ofuscación llamada a la librería, d) cadenas y archivos cifrados, es) profunda y diversificada código muerto, F) recursos polimórficos, g) firmas digitales válidos, h) nombres de archivo aleatorios y certificado raíz Nombres comunes, yo) actualizaciones cifrados, y j) liberación diaria de variantes polimórficas.
Wajam también está diseñado para implementar características anti-detección que van desde la desactivación herramienta de eliminación de software malintencionado de Windows (MRT), auto-exclusión de sus rutas de instalación de Windows Defender, y en otros casos el despliegue de capacidades de rootkit para ocultar su carpeta de instalación de los usuarios.
Principio que fuera, los expertos dieron a conocer una pieza separada de programas publicitarios, identificado como OtherSearch, que reutiliza el mismo modelo y algunas de las mismas técnicas que Wajam, a veces de una manera más avanzada. Esta “coincidencia” significa muy probablemente un tercero común que proporciona un marco para la ofuscación ambas compañías adware, y puede haber otros también.
El informe también habla de una serie de fallos de seguridad los investigadores descubrieron, que se han expuesto a millones de usuarios en los últimos cuatro años con el potencial de inyección de contenido arbitrario, man-in-the-middle (MITM) ataques, y la ejecución remota de código (RCE):
A medida que la tercera generación de Wajam aprovecha inyección proceso del explorador, el contenido inyectado está presente en la página web sin su certificado HTTPS siendo cambiado, la prevención de que incluso un usuario consciente de la detección de la manipulación. Adicionalmente, Wajam rebaja sistemática de la seguridad de un número de sitios web mediante la eliminación de su contenido Política de Seguridad (CSP), e.g., facebook.com, y otras cabeceras HTTP securityrelated de la respuesta del servidor.
inyectores de anuncios, en particular, son parte de larga duración-PPI (pagar por instalación) campañas, según lo revelado por otro informe dedicado a la distribución de software no deseado que se publicó en 2016. A los efectos del informe, investigadores de Google, Universidad de Nueva York, y el Instituto Internacional de Ciencias de la Computación se centró en cuatro filiales PPI (Y el netize, InstallMonetizer, OpenCandy, y Outbrowse) y paquetes de software descargado periódicamente para el análisis.
Relacionado: Empresa afiliada de pago por instalación: generar millones con el software publicitario
inyectores de anuncios modifican la experiencia de navegación de un usuario para sustituir o insertar anuncios adicionales que de otro modo no aparecerían en una página web. Cada red PPI los investigadores monitorizaron para el informe participó en la distribución de los inyectores de anuncios.
Los investigadores de Symantec han denominado previamente el pago por instalación modelo de negocio “la nueva red de distribución de malware", haciendo hincapié en el hecho de que en el pasado el malware previsible (como gusanos) Se propaga por sí mismo con la ayuda de las vulnerabilidades del lado del servidor.
Más sobre Wajam
Wajam Internet Technologies Inc. fue sede originalmente en Montreal, Canada. Su producto dirigido a la mejora de los resultados de la búsqueda de una serie de sitios web (e.g., Google, Yahoo, Ask.com, Salida, Wikipedia, Youtube) con el contenido extraído de las conexiones de redes sociales de un usuario (e.g., Gorjeo, Facebook, Google , LinkedIn). Wajam fue lanzado por primera vez en octubre 2011, rebautizado como Social2Search en de mayo de 2016, entonces como SearchAwesome en agosto 2017. El informe utiliza el nombre Wajam indistintamente en todo el documento para referirse a la empresa o el software que desarrollan. Para obtener ingresos, Wajam inserta anuncios en el tráfico del navegador. La compañía perdió progresivamente su conexión con las redes sociales y se convirtió en puramente publicitarios 2017, El informe reveló.