Adware ne tombent généralement pas dans la même catégorie que les logiciels malveillants. Cependant, une étude récente menée par des chercheurs de l'Université Concordia à Montréal, Canada, révèle que les logiciels publicitaires est en fait très semblable à un code malveillant et ses techniques.
Pour prouver que, chercheurs Xavier de Carne de Carnavalet et Mohammad Mannan a analysé un joueur bien connu dans le domaine des logiciels publicitaires connu sous le nom Wajam.
Les chercheurs enquête l'évolution de Wajam au cours de près de six ans. À partir de 2016, révélé par le Bureau du commissaire du Canada, Wajam avait «des centaines de millions d'installations» Et recueilli 400 To d'informations privées des utilisateurs, le rapport.
Wajam a été autour depuis 2013. Autrefois, il a été annoncé comme une recherche sociale navigateur add-on qui permet aux utilisateurs de trouver les informations a été recherché en ligne ou partagés par leurs amis sur les plateformes sociales comme Facebook et Twitter. Comme il se agit d'un navigateur plug-in ad-supported, Wajam est connu pour afficher diverses publicités que certains utilisateurs trouvent assez ennuyeux. Ce qui se avère Wajam dans une application potentiellement indésirable est le risque de diverses infections impliquées dans le pop-up, annonces bannière et dans le texte, ce qui peut conduire à l'utilisateur de pages Web non vérifiées et non sécuritaires.
En d'autres termes, Wajam a été connu pour injecter des annonces dans le trafic du navigateur, en utilisant des techniques par les logiciels malveillants utilisés par les opérateurs, tel que l'homme-in-the-browser (injection de processus de navigateur) les attaques observées dans opérations Zeus. D'autres exemples comprennent anti-analyse et les techniques d'évasion, dévalorisation de la politique de sécurité et des fuites de données.
en relation: Lenovo biefs $7.3 Après règlement millions Superfish Adware Débâcle
248 Les noms de domaine associés à Wajam
Au cours de leur enquête, les chercheurs ont suivi 248 Les noms de domaine utilisés par Wajam, que l'on trouve dans les certificats de signature de code, URL codées en dur dans les échantillons, règles d'injection ad, d'autres domaines qui ont été simultanément hébergés à partir de la même adresse IP, et ceux déclarés dans les documents juridiques de la société.
Il est très important de noter que:
à travers les générations, Wajam fait de plus en plus l'utilisation de plusieurs anti-analyse et les techniques d'évasion, y compris: une) installateurs imbriqués, b) stéganographie, c) chaîne et appel bibliothèque obscurcissement, d) chaînes et fichiers cryptés, est) profond et diversifié code mort, fa) ressources polymorphes, g) signatures numériques valides, h) les noms de fichiers aléatoires et certificat racine Noms communs, Je) mises à jour cryptées, et j) libération quotidienne des variantes polymorphes.
Wajam est également conçu pour implémenter des fonctionnalités anti-détection allant de la désactivation de logiciels malveillants Windows Outil de suppression (MRT), auto-exclusion de ses chemins d'installation de Windows Defender, et dans d'autres cas, le déploiement des capacités de rootkit pour cacher son dossier d'installation des utilisateurs.
Haut que large, les experts ont dévoilé aujourd'hui une pièce séparée de logiciels publicitaires, identifiés comme OtherSearch, qui réutilise le même modèle et certaines des mêmes techniques que Wajam, parfois d'une manière plus avancée. Cette « coïncidence » signifie probablement un tiers commun qui fournit un cadre d'obscurcissement aux deux sociétés de logiciels publicitaires, et il peut y avoir d'autres aussi.
Le rapport parle aussi sur une série de failles de sécurité les chercheurs ont découvert, qui ont exposé des millions d'utilisateurs pour les quatre dernières années à l'injection potentielle contenu arbitraire, -middle man-in-la (MITM) attaques, et l'exécution de code à distance (RCE):
Comme la troisième génération de Wajam tire parti de l'injection de processus de navigateur, le contenu injecté est présent dans la page Web sans son certificat HTTPS en cours de modification, empêchant même un utilisateur conscient de détecter la falsification. En outre, Wajam déclasse systématiquement la sécurité d'un certain nombre de sites Web en supprimant leur contenu politique de sécurité (CSP), par exemple, facebook.com, et autres en-têtes HTTP securityrelated de la réponse du serveur.
injecteurs Ad, en particulier, font partie de l'IPP de longue durée (pay-per-installer) campagnes, comme l'a révélé un autre rapport consacré à la distribution des logiciels indésirables qui a été publié en 2016. Aux fins du rapport, les chercheurs de Google, L'Université de New York, et l'International Computer Science Institute a porté sur quatre filiales PPI (Et la netize, InstallMonetizer, OpenCandy, et Outbrowse) et progiciels régulièrement téléchargés pour l'analyse.
en relation: Entreprise affiliée Pay-Per-Install – Faire des millions avec les logiciels publicitaires
injecteurs Ad modifier l'expérience de navigation d'un utilisateur pour remplacer ou insérer des annonces supplémentaires qui, autrement, ne serait pas sur un site Web. Chaque réseau PPI les chercheurs ont suivi le rapport a participé à la distribution des injecteurs ad.
Les chercheurs de Symantec ont déjà surnommé le pay-per-installer le modèle d'entreprise «le nouveau réseau de distribution des logiciels malveillants", soulignant sur le fait que dans le passé malware prévisible (comme des vers) a été auto-propagation avec l'aide de vulnérabilités côté serveur.
En savoir plus sur Wajam
Wajam Internet Technologies Inc. a été à l'origine dont le siège est à Montréal, Canada. Leur produit vise à améliorer les résultats de la recherche d'un certain nombre de sites Web (par exemple, Google, Yahoo, Ask.com, Expedia, Wikipedia, Youtube) avec un contenu extrait de connexions de médias sociaux d'un utilisateur (par exemple, Gazouillement, Facebook, Google , LinkedIn). Wajam a d'abord été publié en Octobre 2011, rebaptisés Social2Search mai 2016, puis comme SearchAwesome en Août 2017. Le rapport utilise le nom Wajam de manière interchangeable dans le papier de se référer à la société ou le logiciel qu'ils ont développé. Pour obtenir des recettes, Wajam annonces dans la circulation injecte du navigateur. La société a progressivement perdu sa connexion avec les médias sociaux et est devenu purement publicitaire en 2017, le rapport a révélé.