Adware generalmente non rientra nella stessa categoria di software dannoso. Tuttavia, una recente ricerca condotta da ricercatori della Concordia University di Montreal, Canada, rivela che adware è in realtà molto simile al codice maligno e le sue tecniche.
Per dimostrare che, ricercatori Xavier de carne de Carnavalet e Mohammad Mannano analizzati un giocatore ben noto nel settore conosciuto come adware Wajam.
I ricercatori indagato l'evoluzione della Wajam nel corso di quasi sei anni. Come di 2016, rivelato da parte dell'Ufficio del Commissario per la Privacy del Canada, Wajam aveva “centinaia di milioni di installazioni”E raccolte 400TB di informazioni private da parte degli utenti, dice il rapporto.
Wajam è stato intorno dal 2013. In passato, è stato pubblicizzato come un browser di ricerca sociale, add-on che permette agli utenti di trovare le informazioni che è stato cercato in linea o in comune dai loro amici su piattaforme sociali come Twitter e Facebook. Poiché si tratta di un browser plug-in ad-supported, Wajam è noto per visualizzare varie pubblicità che alcuni utenti trovano abbastanza fastidioso. Che trasforma Wajam in un'applicazione potenzialmente indesiderata è il rischio di infezioni varie coinvolti con il pop-up, banner pubblicitari e in-text, che può portare l'utente a pagine web non verificate e non sicuri.
In altre parole, Wajam è stato conosciuto per iniettare gli annunci in traffico del browser, utilizzando tecniche che il malware operatori uso, come ad esempio man-in-the-Browser (Iniezione processo del browser) attacchi visti in operazioni di Zeus. Altri esempi includono anti-analisi e tecniche di evasione, politica di sicurezza declassamento e perdite di dati.
Correlata: Raggiunge Lenovo $7.3 Milioni di conclusione dopo Superfish Adware Debacle
248 Nomi di dominio associato Wajam
Durante la loro ricerca, i ricercatori hanno monitorato 248 i nomi di dominio usato da Wajam, come si trova in certificati di firma codice, URL hardcoded in campioni, regole iniezione annuncio, altri domini che sono stati ospitati contemporaneamente dallo stesso indirizzo IP, e quelle dichiarate nei documenti legali della società.
E 'molto importante notare che:
attraverso le generazioni, Wajam fa sempre uso di vari anti-analisi e tecniche di evasione compreso: un) installatori nidificati, b) steganografia, c) corda e chiamata di libreria offuscamento, d) stringhe e file crittografati, e) codice morto profonda e diversificata, f) risorse polimorfici, g) firme digitali valide, h) i nomi dei file randomizzati e certificato principale Nomi comuni, Io) aggiornamenti crittografati, e j) rilascio giornaliera di varianti polimorfiche.
Wajam è inoltre progettato per implementare funzionalità anti-rilevamento che vanno dalla disattivazione di Windows Strumento di rimozione malware (MRT), auto-esclusione dei percorsi di installazione da Windows Defender, e in altri casi la distribuzione funzionalità rootkit per nascondere la sua cartella di installazione da parte degli utenti.
Top che fuori, gli esperti hanno presentato un foglio di adware, identificato come OtherSearch, che riutilizza lo stesso modello e alcune delle stesse tecniche Wajam, a volte in modo più avanzato. Questa “coincidenza” molto probabilmente indica una terza parte comune che fornisce un quadro di offuscamento per entrambe le società di adware, e ci possono essere altri pure.
Il rapporto parla anche di una serie di falle di sicurezza i ricercatori hanno scoperto, che hanno esposto milioni di utenti negli ultimi quattro anni per potenziale iniezione contenuti arbitrari, man-in-the-middle (MITM) attacchi, e l'esecuzione di codice remoto (RCE):
Come la terza generazione di Wajam sfrutta iniezione processo del browser, il contenuto iniettato è presente nella pagina web senza il relativo certificato HTTPS viene modificato, impedendo anche un utente consapevole di rilevare la manomissione. In aggiunta, Wajam downgrade sistematicamente la sicurezza di un numero di siti web, eliminando la loro politica di sicurezza contenuti (CSP), es, facebook.com, e altre intestazioni HTTP securityrelated dalla risposta del server.
Ad iniettori, in particolare, fanno parte della lunga corsa PPI (pay-per-install) campagne, come rivelato da un altro rapporto dedicato alla distribuzione di software indesiderato che è stata pubblicata in 2016. Ai fini del rapporto, i ricercatori di Google, New York University, e il Computer Science Institute focalizzata su quattro affiliati PPI (E il netize, InstallMonetizer, OpenCandy, e Outbrowse) e pacchetti software regolarmente scaricati di analisi.
Correlata: Attività di affiliazione pay-per-install – Guadagnare milioni con l'adware
iniettori Ad modificano esperienza di navigazione di un utente di sostituire o inserire ulteriori annunci che altrimenti non apparirebbero su un sito web. Ogni rete PPI i ricercatori hanno monitorato per il rapporto ha partecipato alla distribuzione degli iniettori di annunci.
i ricercatori di Symantec hanno già soprannominato il pay-per-install modello di business “la nuova rete di distribuzione di malware", insistendo sul fatto che il malware passato prossimo (come vermi) è stato auto-propagando con l'aiuto di vulnerabilità lato server.
Di più su Wajam
Wajam Internet Technologies Inc. è stato originariamente con sede a Montreal, Canada. Il loro prodotto volto a valorizzare i risultati della ricerca di un certo numero di siti web (es, Google, Yahoo, Ask.com, Expedia, Wikipedia, Youtube) con il contenuto estratto da connessioni social media di un utente (es, Cinguettio, Facebook, Google , LinkedIn). Wajam è stato rilasciato nel mese di ottobre 2011, rimarchiati come Social2Search maggio 2016, poi come SearchAwesome nel mese di agosto 2017. Il rapporto utilizza il nome Wajam modo intercambiabile in tutta la carta per fare riferimento alla società o il software che hanno sviluppato. Per ottenere entrate, Wajam inietta annunci nel traffico del browser. La società ha progressivamente perso la sua connessione con i social media ed è diventato puramente adware in 2017, il rapporto ha rivelato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: