RoughTed est une campagne à grande échelle malvertising qui a vu un pic en Mars de cette année, mais a été actif pendant au moins plus d'un an. Les deux systèmes d'exploitation Windows et Mac sont ciblés, ainsi que iOS et Android. L'opération est assez rare dans son intégralité, ayant utilisé une variété d'approches malveillants d'exploiter des kits d'escroqueries en ligne tels que les escroqueries de support technique faux, mises à jour de faux, extensions de navigateur voyous, etc.
RoughTed a également été détecté en utilisant la géolocalisation pour fournir les charges utiles pertinentes aux victimes exactes. L'une des charges utiles récemment déployé est le tristement célèbre Cerber ransomware.
RoughTed Campagne Malvertising en détail
Jérôme Segura, chercheur à Malwarebytes, estimé que le trafic envoyé par les domaines liés à RoughTed a accumulé plus d'un demi-milliard de visites. Ce trafic a également conduit à de nombreuses infections réussies et ce n'est pas surprenant car il a été combiné à des méthodes très efficaces qui attirent les utilisateurs et ad-bloquants de dérivation.
Celui qui est derrière la campagne de malvertising a également été tirant parti de l'infrastructure cloud Amazon, en particulier son réseau de diffusion de contenu. Ceci est cependant qu'une petite partie du puzzle où ad redirections de divers échanges d'annonces sont mélangés pour faire déchiffrage l'opération très difficile.
Plusieurs facteurs dans cette opération se distinguent. Les chercheurs ont pu déterminer que le trafic provient de milliers d'éditeurs, et certains d'entre eux ont même été classés dans le top Alexa 500 sites. Un autre fait qui est utile de mentionner que les domaines associés ont accumulé plus d'un demi-milliard de visites que dans le passé 3 mois.
Et astuces Fingerprinting ad-bloquants sans passer ont également été inclus dans les campagnes de publicité malveillante. Le pire, cependant, est que RoughTed a aidé à organiser un certain nombre de charges utiles malveillantes sur différentes plates-formes allant des escroqueries en ligne pour les logiciels malveillants et ransomware.
Les chercheurs ont observé des campagnes RoughTed étroitement et ont remarqué la roughted[.]avec referrer, qui a été la redirection vers le RIG exploiter kit. Pendant qu'ils extraient leur ensemble de données, ils ont commencé à voir ce modèle pour plus d'une centaine d'autres domaines.
La plupart de ces domaines ont été créés par le bureau d'enregistrement EvoPlus en petits lots avec une nouvelle .ru ou .ua adresse e-mail. Une autre similitude qui partagent ces domaines est qu'ils sont déployés comme un moyen de contourner ad-bloquants.
La majeure partie du trafic pour la campagne vient de sites de streaming vidéo ou le partage de fichiers en combinaison avec raccourcisseurs d'URL qui est une chose typique pour malvertising.
Comme indiqué précédemment, la plupart des domaines sont classés sur le dessus de Alexa 1000. Les visiteurs de ces sites sont ciblés avec des annonces dont certains proviennent de RoughTed.
chercheurs Sucure, d'autre part, a fait une autre observation curieuse en ce qui concerne l'implication des sites « personnels » dans la campagne malvertising. Apparemment, webmasters intégrés en connaissance de cause d'un script de code d'annonce de la société de publicité Ad-Maven dans leurs pages pour monétiser leur site web.
Machines Mac également ciblées
les propriétaires de Mac devraient également être au courant de cette campagne de malvertising. Une mise à jour Flash Player faux a été détecté ciblant les utilisateurs Mac, masqueradé comme un fichier qui vient d'Apple. Il est inutile de dire, mais les utilisateurs doivent faire preuve de prudence supplémentaire avec des mises à jour qui sont « servis » de cette façon. Malheureusement, les cybercriminels sont très bons à la création de pages délicates et peuvent aussi bien utiliser des tactiques de scareware pour améliorer les chances d'un compromis réussi.
Le système d'exploitation Windows, d'autre part, a été ciblé avec des mises à jour de faux pour Java et Flash, et aussi avec les codecs faux. Pages dupant les utilisateurs à installer ces mises à jour sont mélangés avec de faux logiciels publicitaires.
Chrome avec Targeted extensions du navigateur Rogue
Même si Chrome est souvent désigné comme l'un des navigateurs les plus sûrs, il a été victime de la campagne RoughTed. Les utilisateurs peuvent même être obligés de télécharger des extensions Chrome malveillants. Le pop-up menant au téléchargement peut contenir un texte comme «Ajouter l'extension de quitter» Ou quelque chose du genre.
En outre, à la fois iOS et Android semblent être ciblés par la campagne.
En un mot, les chercheurs disent que c'est vraiment gênant, le fait que le contenu financé par la publicité est déployée pour distribuer les escroqueries ou les logiciels malveillants. Ce qui est pire est que même les utilisateurs avec ad-bloquants ne sont pas épargnés et sont victimes de la campagne. Qui est responsable? Est-ce les réseaux publicitaires ou est-ce les éditeurs qui exposent délibérément les utilisateurs à un code malveillant dans l'intérêt des recettes publicitaires.
Trouvez-vous étrange que tout a commencé en Mars? Les mises à jour de mars de MS? Ceux qui me ont dévissé d'environ 500 heures de temps de travail! Grrrr! Ont exécuter toutes sortes de programmes de tous les types de services et ne trouve rien sur mon ordinateur qui n'est pas censé être là, mais de nos jours, Je suis vraiment pas sûr de ce qui est censé être là de toute façon!!
Ouais, Microsoft ont beaucoup de travail à faire, en ce qui concerne la façon dont ils présentent des mises à jour… J'ai vu les utilisateurs qui sont incapables de faire quoi que ce soit même pas enregistrer leur travail et juste attendre que le compte à rebours pour courir et leur redémarrage de l'ordinateur, parce que les mises à jour ont été retardés pour beaucoup trop longtemps et ils doivent être mis en place.. vraiment se répand sur vos nerfs.. PS: c'était 8, je crois..