RoughTed è una campagna malvertising su larga scala che ha visto un picco nel marzo di quest'anno, ma è stato attivo per almeno un anno. Entrambi i sistemi operativi Windows e Mac sono mirati, così come iOS e Android. Il funzionamento è abbastanza raro nella sua completezza, dopo aver utilizzato una varietà di approcci dannosi di kit di exploit a truffe online come ad esempio le truffe di supporto falso tecnologia, aggiornamenti falsi, le estensioni del browser canaglia, e così via.
RoughTed è stata rilevata anche tramite geolocalizzazione per consegnare carichi utili relativi alle vittime esatte. Uno dei carichi utili recentemente dispiegati è il famigerato Cerber ransomware.
RoughTed campagna Malvertising in dettaglio
Jérôme Segura, ricercatore presso Malwarebytes, stima che il traffico inviato tramite i domini legati alla RoughTed accumulato più di mezzo miliardo di colpi. Questo traffico ha portato anche a molte infezioni di successo e questo non è una sorpresa come è stato combinato con metodi altamente efficaci che attirano gli utenti e bypass ad-bloccanti.
Chiunque sia dietro la campagna malvertising è stato anche sfruttando l'infrastruttura cloud di Amazon, in particolare il suo Content Delivery Network. Questa però è solo una piccola parte del puzzle in cui i reindirizzamenti di annunci provenienti da vari scambi di annunci sono mescolati in per rendere decifrare l'operazione piuttosto impegnativo.
Diversi fattori in questa operazione si distinguono. I ricercatori sono stati in grado di determinare che il traffico proviene da migliaia di editori, e alcuni di loro sono stati anche classificati nella top di Alexa 500 siti web. Un altro fatto che è degno di nota è che i domini associati accumulati solo più di mezzo miliardo di visite in passato 3 mesi.
Fingerprinting e trucchi bypassando annuncio-bloccanti sono stati inclusi anche nelle campagne malvertising. Il peggiore, tuttavia, è che RoughTed ha contribuito a fornire una serie di payload dannosi su diverse piattaforme che vanno da truffe online al malware e ransomware.
I ricercatori hanno osservato le campagne RoughTed da vicino e ho notato il roughted[.]con referrer, che si reindirizzare alla RIG exploit kit. Mentre stavano estraendo il loro set di dati, hanno iniziato a vedere quel modello per più di un centinaio di altri domini.
La maggior parte di questi domini sono stati creati tramite il registrar EVOPLUS in piccoli lotti con un nuovo .ru o .UA indirizzo e-mail. Un'altra somiglianza che questi domini in comune è che essi vengono distribuiti come un mezzo per aggirare ad-bloccanti.
La maggior parte del traffico per la campagna viene da siti di streaming video o di file sharing in combinazione con abbreviazione URL che è una cosa tipica per malvertising.
Come detto in precedenza, molti dei domini sono classificati in cima di Alexa 1000. I visitatori di questi siti sono mirati con gli annunci, alcuni dei quali provengono da RoughTed.
ricercatori Sucure, d'altronde, fatto un altro curioso osservazione per quanto riguarda il coinvolgimento dei siti web ‘personali’ nella campagna malvertising. Apparentemente, webmaster consapevolmente integrati uno script di codice degli annunci da società pubblicitaria Ad-Maven nelle loro pagine per monetizzare il proprio sito web.
Macchine per Mac anche mirati
utenti Mac dovrebbero anche essere consapevoli di questa campagna malvertising. Un falso aggiornamento di Flash Player è stato rilevato mira gli utenti Mac, mascherato come un file che viene da Apple. E 'inutile dire, ma gli utenti dovrebbero essere più cauti con gli aggiornamenti che vengono “serviti” in questo modo. Sfortunatamente, i criminali informatici sono molto bravi a creare le pagine difficili e possono così utilizzare tattiche scareware per migliorare la possibilità di un compromesso di successo.
Il sistema operativo Windows, d'altronde, è stato preso di mira con gli aggiornamenti falsi per Java e Flash, e anche con i codec falsi. Pagine ingannare gli utenti a installare tali aggiornamenti falsi sono mescolati con adware.
Chrome mirata con le estensioni del browser Rogue
Anche se Chrome è spesso definito come uno dei browser più sicuri, è caduto vittima della campagna di RoughTed. Gli utenti possono anche essere costretti a scaricare estensioni di Chrome dannosi. Il pop-up che porta al download può contenere un testo come “Aggiungi estensione di lasciare”O qualcosa del genere.
In aggiunta, sia iOS e Android sembrano essere bersaglio di campagna.
In poche parole, i ricercatori dicono che è davvero fastidioso, il fatto che i contenuti ad-supported viene distribuito per distribuire truffe o malware. Quel che è peggio è che anche gli utenti con annunci-bloccanti non sono risparmiati e cadono vittime alla campagna. Chi è il responsabile? E 'reti pubblicitarie o è gli editori che espongono volontariamente agli utenti di codice dannoso nell'interesse di entrate pubblicitarie.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi:
Lo trovate strano che tutto è iniziato nel marzo? Gli aggiornamenti di marzo dalla MS? Quelli che mi hanno svitata di circa 500 ore del tempo di lavoro! grrrr! Hanno eseguito tutti i tipi di programmi da tutti i tipi di servizi e riesce a trovare nulla sul mio computer che non dovrebbe essere lì, ma al giorno d'oggi, Sono davvero sicuro di quello che dovrebbe essere lì comunque!!
si, Microsoft hanno un sacco di lavoro da fare, per quanto riguarda il modo in cui presentano aggiornamenti… Ho visto gli utenti che non sono in grado di fare qualsiasi cosa, non anche salvare il proprio lavoro e basta attendere che il conto alla rovescia per esaurirsi e il loro riavvio del computer, perché gli aggiornamenti sono stati ritardati per troppo tempo e devono essere istituito.. diventa veramente sui nervi.. PS: questo è stato il 8, I belive..