CYBER NEWS

Adware generalmente non rientra nella stessa categoria di software dannoso. Tuttavia, una recente ricerca condotta da ricercatori della Concordia University di Montreal, Canada, rivela che adware è in realtà molto simile al codice maligno e le sue tecniche.

Per dimostrare che, ricercatori Xavier de carne de Carnavalet e Mohammad Mannano analizzati un giocatore ben noto nel settore conosciuto come adware Wajam.




I ricercatori indagato l'evoluzione della Wajam nel corso di quasi sei anni. Come di 2016, rivelato da parte dell'Ufficio del Commissario per la Privacy del Canada, Wajam aveva “centinaia di milioni di installazioni”E raccolte 400TB di informazioni private da parte degli utenti, dice il rapporto.

Wajam è stato intorno dal 2013. In passato, è stato pubblicizzato come un browser di ricerca sociale, add-on che permette agli utenti di trovare le informazioni che è stato cercato in linea o in comune dai loro amici su piattaforme sociali come Twitter e Facebook. Poiché si tratta di un browser plug-in ad-supported, Wajam è noto per visualizzare varie pubblicità che alcuni utenti trovano abbastanza fastidioso. Che trasforma Wajam in un'applicazione potenzialmente indesiderata è il rischio di infezioni varie coinvolti con il pop-up, banner pubblicitari e in-text, che può portare l'utente a pagine web non verificate e non sicuri.

In altre parole, Wajam è stato conosciuto per iniettare gli annunci in traffico del browser, utilizzando tecniche che il malware operatori uso, come ad esempio man-in-the-Browser (Iniezione processo del browser) attacchi visti in

operazioni di Zeus. Altri esempi includono anti-analisi e tecniche di evasione, politica di sicurezza declassamento e perdite di dati.

Correlata: Raggiunge Lenovo $7.3 Milioni di conclusione dopo Superfish Adware Debacle.

248 Nomi di dominio associato Wajam

Durante la loro ricerca, i ricercatori hanno monitorato 248 i nomi di dominio usato da Wajam, come si trova in certificati di firma codice, URL hardcoded in campioni, regole iniezione annuncio, altri domini che sono stati ospitati contemporaneamente dallo stesso indirizzo IP, e quelle dichiarate nei documenti legali della società.

E 'molto importante notare che:

attraverso le generazioni, Wajam fa sempre uso di vari anti-analisi e tecniche di evasione compreso: un) installatori nidificati, b) steganografia, c) corda e chiamata di libreria offuscamento, d) stringhe e file crittografati, e) codice morto profonda e diversificata, f) risorse polimorfici, g) firme digitali valide, h) i nomi dei file randomizzati e certificato principale Nomi comuni, Io) aggiornamenti crittografati, e j) rilascio giornaliera di varianti polimorfiche.

Wajam è inoltre progettato per implementare funzionalità anti-rilevamento che vanno dalla disattivazione di Windows Strumento di rimozione malware (MRT), auto-esclusione dei percorsi di installazione da Windows Defender, e in altri casi la distribuzione funzionalità rootkit per nascondere la sua cartella di installazione da parte degli utenti.

Top che fuori, gli esperti hanno presentato un foglio di adware, identificato come OtherSearch, che riutilizza lo stesso modello e alcune delle stesse tecniche Wajam, a volte in modo più avanzato. Questa “coincidenza” molto probabilmente indica una terza parte comune che fornisce un quadro di offuscamento per entrambe le società di adware, e ci possono essere altri pure.
Il rapporto parla anche di una serie di falle di sicurezza i ricercatori hanno scoperto, che hanno esposto milioni di utenti negli ultimi quattro anni per potenziale iniezione contenuti arbitrari, man-in-the-middle (MITM) attacchi, e l'esecuzione di codice remoto (RCE):

Come la terza generazione di Wajam sfrutta iniezione processo del browser, il contenuto iniettato è presente nella pagina web senza il relativo certificato HTTPS viene modificato, impedendo anche un utente consapevole di rilevare la manomissione. In aggiunta, Wajam downgrade sistematicamente la sicurezza di un numero di siti web, eliminando la loro politica di sicurezza contenuti (CSP), es, facebook.com, e altre intestazioni HTTP securityrelated dalla risposta del server.

Ad iniettori, in particolare, fanno parte della lunga corsa PPI (pay-per-install) campagne, come rivelato da un altro rapporto dedicato alla distribuzione di software indesiderato che è stata pubblicata in 2016. Ai fini del rapporto, i ricercatori di Google, New York University, e il Computer Science Institute focalizzata su quattro affiliati PPI (E il netize, InstallMonetizer, OpenCandy, e Outbrowse) e pacchetti software regolarmente scaricati di analisi.

Correlata: Il pay-per-Install commercio della filiale - fare milioni di Adware.

iniettori Ad modificano esperienza di navigazione di un utente di sostituire o inserire ulteriori annunci che altrimenti non apparirebbero su un sito web. Ogni rete PPI i ricercatori hanno monitorato per il rapporto ha partecipato alla distribuzione degli iniettori di annunci.

i ricercatori di Symantec hanno già soprannominato il pay-per-install modello di business “la nuova rete di distribuzione di malware", insistendo sul fatto che il malware passato prossimo (come vermi) è stato auto-propagando con l'aiuto di vulnerabilità lato server.




Di più su Wajam

Wajam Internet Technologies Inc. è stato originariamente con sede a Montreal, Canada. Il loro prodotto volto a valorizzare i risultati della ricerca di un certo numero di siti web (es, Google, Yahoo, Ask.com, Expedia, Wikipedia, Youtube) con il contenuto estratto da connessioni social media di un utente (es, Cinguettio, Facebook, Google , LinkedIn). Wajam è stato rilasciato nel mese di ottobre 2011, rimarchiati come Social2Search maggio 2016, poi come SearchAwesome nel mese di agosto 2017. Il rapporto utilizza il nome Wajam modo intercambiabile in tutta la carta per fare riferimento alla società o il software che hanno sviluppato. Per ottenere entrate, Wajam inietta annunci nel traffico del browser. La società ha progressivamente perso la sua connessione con i social media ed è diventato puramente adware in 2017, il rapporto ha rivelato.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...