Adware het algemeen niet vallen in dezelfde categorie als kwaadaardige software. Echter, een recent onderzoek uitgevoerd door onderzoekers van de Concordia University in Montreal, Canada, blijkt dat adware is in feite zeer vergelijkbaar met kwaadaardige code en de technieken.
Om dat te bewijzen, onderzoekers Xavier de Carné de Carnavalet en Mohammad Mannan geanalyseerd een bekende speler in de adware bedrijf bekend als Wajam.
De onderzoekers onderzocht de evolutie van Wajam in de loop van bijna zes jaar. Vanaf 2016, onthuld door het Bureau van de Privacy Commissioner of Canada, Wajam gehad “honderden miljoenen installaties”En verzamelde 400TB van persoonlijke gegevens van gebruikers, aldus het rapport.
Wajam is sindsdien rond geweest 2013. In het verleden, het werd aangekondigd als een social search browser add-on die gebruikers in staat stelt om te vinden wat informatie is online doorzocht of gedeeld door hun vrienden op sociale platformen zoals Twitter en Facebook. Aangezien dit is een advertentie-ondersteunde browser plug-in, Wajam is bekend dat diverse advertenties dat sommige gebruikers vinden heel vervelend weer. Wat verandert Wajam in een potentieel ongewenste applicatie is het risico van verschillende infecties die betrokken zijn bij de pop-up, banner en in-tekstadvertenties, die de gebruiker in staat om niet-geverifieerde en onveilige webpagina's kan leiden.
Met andere woorden, Wajam is bekend om advertenties in de browser het verkeer te injecteren, met behulp van technieken die operators gebruik malware, zoals de man-in-the-browser (browser proces injectie) aanvallen gezien in Zeus operaties. Andere voorbeelden zijn anti-analyse en ontwijkingstechnieken, veiligheidsbeleid downgrading en het lekken van gegevens.
Verwant: Lenovo Reaches $7.3 Million Settlement Na Superfish Adware Debacle
248 Domeinnamen die zijn gekoppeld met Wajam
Tijdens hun onderzoek, de onderzoekers bijgehouden 248 domeinnamen die worden gebruikt door Wajam, zoals gevonden in code signing certificaten, hardcoded URL's in monsters, ad injectie regels, andere domeinen die gelijktijdig van hetzelfde IP-adres werden gehost, en die verklaarde in juridische documenten van het bedrijf.
Het is zeer belangrijk op te merken dat:
Across generaties, Wajam maakt in toenemende mate gebruik van een aantal anti-analyse en ontwijkingstechnieken inbegrip: een) geneste installateurs, b) steganografie, c) string en bibliotheek oproep verduistering, d) versleutelde strings en bestanden, is) diep en gediversifieerde dode code, f) polymorfe middelen, g) geldige digitale handtekeningen, h) gerandomiseerde bestandsnamen en root certificaat Algemeen Namen, ik) versleutelde updates, en j) dagelijkse release van polymorfe varianten.
Wajam is ook ontworpen om de uitvoering van anti-detectie mogelijkheden, variërend van het uitschakelen van Windows Malicious Software Removal Tool (MRT), self-met uitzondering van de installatie paden van Windows Defender, en in andere gevallen de inzet van rootkit mogelijkheden om de installatiemap van gebruikers te verbergen.
Top dat af, de experts onthulde een apart stuk van adware, geïdentificeerd als OtherSearch, dat hergebruikt hetzelfde model en een aantal van dezelfde technieken als Wajam, soms in een meer geavanceerde manier. Deze “toeval” het meest waarschijnlijk, een gemeenschappelijke derde partij die een vertroebeling kader biedt om zowel adware bedrijven, en er kan zijn voor anderen ook.
In het rapport wordt ook gesproken over een aantal beveiligingsfouten ontdekten de onderzoekers, dat miljoenen gebruikers hebben blootgelegd voor de laatste vier jaar aan potentiële willekeurige injectie inhoud, man-in-the-middle (MITM) aanvallen, en uitvoering van externe code (RCE):
Als derde generatie van Wajam maakt gebruik van browser proces injectie, de geïnjecteerde inhoud in de webpagina zonder HTTPS certificaat veranderd, voorkomen zelfs bewust gebruiker detecteert het geknoei. Bovendien, Wajam downgrades systematisch de zekerheid van een aantal websites door het verwijderen van hun Content Security Policy (CSP), bijv., facebook.com, en andere securityrelated HTTP-headers uit het antwoord van de server.
ad injectoren, in het bijzonder, maken deel uit van langlopende PPI (pay-per-install) campagnes, zoals blijkt uit een ander rapport dat zich toelegt op de verspreiding van ongewenste software die werd gepubliceerd 2016. Voor het doel van het rapport, onderzoekers van Google, Universiteit van New York, en de International Computer Science Institute richt zich op vier PPI filialen (En de netize, InstallMonetizer, OpenCandy, en Outbrowse) en kunnen regelmatig worden gedownload softwarepakketten voor analyse.
Verwant: Pay-Per-Install Affiliate Business – Miljoenen verdienen met adware
Ad injectoren wijzigen van een gebruiker surfervaring om extra advertenties die anders niet zou verschijnen op een website vervangen of invoegen. Iedere PPI netwerk van de onderzoekers volgden voor het rapport hebben deelgenomen aan de verdeling van de advertentie injectoren.
Symantec onderzoekers hebben eerder noemde de pay-per-installeren business model “de nieuwe malware distributienetwerk", nadruk op het feit dat in de nabije verleden malware (zoals wormen) werd self-voortplanten met behulp van server-side kwetsbaarheden.
Meer over Wajam
Wajam Internet Technologies Inc. werd oorspronkelijk het hoofdkantoor in Montreal, Canada. Hun product gericht op het verbeteren van de zoekresultaten van een aantal websites (bijv., Google, Yahoo, Ask.com, Expedia, Wikipedia, Youtube) met content gewonnen uit van een gebruiker van sociale media-aansluitingen (bijv., Tjilpen, Facebook, Google , LinkedIn). Wajam werd voor het eerst uitgebracht in oktober 2011, omgedoopt tot Social2Search mei 2016, daarna als SearchAwesome in augustus 2017. Het rapport maakt gebruik van de naam Wajam door elkaar het papier om te verwijzen naar het bedrijf of de software die ze ontwikkelden. Om inkomsten te krijgen, Wajam injecteert advertenties in de browser het verkeer. Het bedrijf geleidelijk haar verbinding met sociale media verloren en werd louter adware in 2017, het rapport bleek.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: