アドウェアは通常、悪意のあるソフトウェアと同じカテゴリには分類されません. でも, モントリオールのコンコルディア大学の研究者によって行われた最近の研究, カナダ, アドウェアが実際に悪意のあるコードとその技術に非常に類似していることを明らかにします.
それを証明するために, 研究者のXavierdeCarnédeCarnavaletとMohammadMannanは、Wajamとして知られるアドウェアビジネスの有名なプレーヤーを分析しました.
研究者 調査 ほぼ6年の間にワジャムの進化. 現在 2016, カナダのプライバシーコミッショナーのオフィスによって明らかにされた, ワジャムは「何億ものインストール」とユーザーから400TBの個人情報を収集しました, レポートによると.
ワジャムはそれ以来存在しています 2013. 過去に, これは、ユーザーがオンラインで検索した情報や、TwitterやFacebookなどのソーシャルプラットフォームで友達が共有した情報を見つけることができるソーシャル検索ブラウザアドオンとして宣伝されていました。. これは広告でサポートされているブラウザプラグインであるため, Wajamは、一部のユーザーが非常に迷惑だと感じるさまざまな広告を表示することで知られています. Wajamを望ましくない可能性のあるアプリケーションに変えるのは、ポップアップに関連するさまざまな感染のリスクです。, バナー広告とテキスト内広告, これにより、ユーザーは未確認で安全でないWebページに移動する可能性があります.
言い換えると, Wajamは、ブラウザトラフィックに広告を挿入することが知られています, マルウェアオペレーターが使用する手法を使用する, マンインザブラウザなど (ブラウザプロセスインジェクション) で見られる攻撃 Zeusの操作. 他の例には、反分析および回避技術が含まれます, セキュリティポリシーのダウングレードとデータ漏洩.
関連している: Lenovoが到達 $7.3 スーパーフィッシュアドウェアの大失敗後の数百万の和解
248 Wajamに関連付けられたドメイン名
彼らの調査中, 追跡された研究者 248 Wajamが使用するドメイン名, コード署名証明書に見られるように, サンプルのハードコードされたURL, 広告インジェクションルール, 同じIPアドレスから同時にホストされた他のドメイン, および会社の法的文書で宣言されたもの.
次のことに注意することが非常に重要です:
世代を超えて, Wajamは、次のようないくつかの分析および回避手法をますます利用しています。: a) ネストされたインストーラー, b) ステガノグラフィ, c) 文字列とライブラリの呼び出しの難読化, d) 暗号化された文字列とファイル, e) 深く多様化したデッドコード, f) 多形リソース, g) 有効なデジタル署名, h) ランダム化されたファイル名とルート証明書の一般名, 私) 暗号化された更新, およびj) 多形バリアントの毎日のリリース.
Wajamは、Windowsの悪意のあるソフトウェアの削除ツールの無効化に至るまでの検出防止機能を実装するようにも設計されています (MRT), WindowsDefenderからのインストールパスの自己除外, その他の場合は、ルートキット機能を展開して、インストールフォルダーをユーザーから非表示にします.
それを締めくくる, 専門家は別のアドウェアを発表しました, OtherSearchとして識別, Wajamと同じモデルと同じテクニックのいくつかを再利用します, 時にはより高度な方法で. この「偶然の一致」は、おそらく両方のアドウェア企業に難読化フレームワークを提供する共通のサードパーティを意味します, 他にもあるかもしれません.
レポートはまた、研究者が発見したさまざまなセキュリティ上の欠陥についても語っています, 過去4年間に数百万人のユーザーを潜在的な任意のコンテンツインジェクションにさらしてきた, 真ん中の男 (MITM) 攻撃, およびリモートコード実行 (RCE):
第3世代のWajamはブラウザプロセスインジェクションを活用しているため, 挿入されたコンテンツは、HTTPS証明書が変更されることなくWebページに存在します, 注意深いユーザーでさえ改ざんを検出するのを防ぎます. 加えて, Wajamは、コンテンツセキュリティポリシーを削除することにより、多くのWebサイトのセキュリティを体系的にダウングレードします (CSP), 例えば, facebook.com, サーバーの応答からのその他のセキュリティ関連のHTTPヘッダー.
広告インジェクター, 特に, 長期的なPPIの一部です (インストールごとの支払い) キャンペーン, で公開された不要なソフトウェアの配布に特化した別のレポートによって明らかにされたように 2016. レポートの目的のために, Googleの研究者, ニューヨーク大学, そして国際計算機科学研究所は4つのPPI関連会社に焦点を合わせました (アモネタイズ, InstallMonetizer, OpenCandy, とアウトブラウジ) 分析用に定期的にダウンロードするソフトウェアパッケージ.
関連している: Pay-Per-Installアフィリエイトビジネス–アドウェアから数百万を稼ぐ
広告インジェクターは、ユーザーのブラウジングエクスペリエンスを変更して、他の方法ではWebサイトに表示されない追加の広告を置き換えたり挿入したりします。. レポートのために研究者が監視したすべてのPPIネットワークは、広告インジェクターの配布に参加しました.
ノートンライフロックの研究者は以前、インストールごとの支払いビジネスモデルを吹き替えました。新しいマルウェア配布ネットワーク「「, 予見可能な過去のマルウェアでは (ワームのように) サーバー側の脆弱性の助けを借りて自己伝播していました.
ワジャムについての詳細
Wajam Internet Technologies Inc. もともとはモントリオールに本社を置いていました, カナダ. 彼らの製品は、多くのウェブサイトの検索結果を向上させることを目的としていました (例えば, グーグル, Yahoo, Ask.com, Expedia, ウィキペディア, Youtube) ユーザーのソーシャルメディア接続から抽出されたコンテンツ (例えば, ツイッター, フェイスブック, Google+, LinkedIn). Wajamは10月に最初にリリースされました 2011, 5月にSocial2Searchとしてブランド名を変更 2016, その後、8月にSearchAwesomeとして 2017. レポートでは、会社または開発したソフトウェアを指すために、ペーパー全体でWajamという名前を同じ意味で使用しています。. 収入を得るために, Wajamはブラウザトラフィックに広告を挿入します. 同社は徐々にソーシャルメディアとのつながりを失い、純粋にアドウェアになりました 2017, レポートが明らかにした.