Huidige situatie
De onderzoekers hadden een onaangename verrassing twee weken geleden, na de release van de eerste Cisco verslag over de kwaadaardige advertentie distributie campagne, volgens welke de malvertising netwerk van Kyle en Stan heeft ongeveer negen keer groter bereik dan de eerste gerapporteerde. De onderzoeken kregen de kans om te kijken naar de telemetrie gegevens en zo vonden ze dat dat bijna 6500 kwaadaardige domeinen betrokken zijn geweest. Dit is ongeveer negen keer meer dan het oorspronkelijke aantal 703 kwaadaardige domeinen die oorspronkelijk gerapporteerd. De Cisco verslag verder gebleken dat het aantal van de verbindingen die deze domeinen 31 000, die meer dan driemaal de oorspronkelijk gerapporteerde 9 541 verbindingen.
De Onderzoekers
Twee van de onderzoekers van de malvertising netwerk van Kyle en Stan, Armin Pelkmann en Craig Williams, getraceerd terug de aanval te 2012 en ontdekte dat het actief voor een veel langere periode is geweest dan voor het eerst werd gemeld.
→'We denken dat het is al een redelijk succesvolle campagne [voor de aanvaller],’ Williams zei, 'De nummers corresponderen met het aantal keren dat een aanval werd gedetecteerd en geblokkeerd door een Cisco beveiligingsinrichting. Gezien het aantal keren dat we hebben het gezien, wij vinden het belangrijk.’
De aanslagen van Kyle en Stan malvertising netwerk
Het malvertising netwerk van Kyle en Stan is verschillend van de andere malware netwerken van hetzelfde type op twee manieren - Eerst, het is in staat om advertenties ingesteld geweest op zeer grote en populaire websites zoals Amazon; en tweede, het netwerk heeft een aantal Mac OS X en Windows smaken van de malware.
Volgens de malware onderzoekers, wanneer een bepaalde slachtoffer gedrang, een unieke draai aan de malware het apparaat bereikt en elke spin heeft subtiele verschillen in de verpakking, hetgeen resulteert in een generatie van unieke MD5 checksum. Toen het slachtoffer bezoekt een website die is hosting dergelijke kwaadaardige advertentie, de browser van het slachtoffer wordt tweemaal doorgestuurd. De gebruikers van Mac en Windows zijn een URL die is het hosten van een op maat gemaakte malware gestuurd voor elk platform. Als de malware de laatste download-URL bereikt, browser kaper of spyware, wordt deze automatisch gedownload naar de machine die in het gedrang komt of de pc-gebruiker wordt voor de gek gehouden tot het installeren van het zoals het is gebundeld met legitieme software, zoals een media player.
Hoe werkt Kyle en Stan Malvertising netwerk werk
De malware onderzoekers hebben omgekeerd de malware-bestanden om te ontdekken dat er een unieke rol in elk bestand, waardoor de compute checksum absoluut anders. Dit houdt in dat het Kyle en Stan malvertising netwerk maakt gebruik van geavanceerde technieken om de data die beschikbaar is op de website op te slaan en verknoeien. Deze methode wordt gebruikt door cybercriminelen om de antivirus-systeem op de computer en de andere detectie-systemen die worden gebruikt misleiden.
De malvertising campagne van Kyle en Stan netwerk is zeer succesvol als toen de aanvaller erin slaagt een kwaadaardige advertentie op het netwerk door rechtmatig hosting van een advertentie en het betalen van een netwerk te verspreiden of door compromitterende een groot portie advertentie, de aanvaller kan een zeer snelle campagne groeien, dan wanneer de malware wordt verspreid via phishing e-mails of spam.
De toekomst van de Malware
De malware onderzoekers zeggen dat de malvertising netwerk van Kyle en Stan is een voorbeeld van de volgende malware evolutie. Het wordt gekenmerkt door het inbedden in de websites, die geeft zeer goede resultaten. Bijvoorbeeld, zelfs als slechts een procent van de bezoekers van de website te zien van de advertentie, Dit betekent een hogere kans op succes dan de een als gevolg van een spam-campagne.
De consumenten die het meest vatbaar zijn voor infecties Malvertising zijn degenen die technologieën op hun apparaten te gebruiken met minder dan voldoende detectie. Een van de dingen die hier kan helpen, is het uitschakelen van JavaScript als er geen behoefte aan is en het gebruik van de Ad Block programma.
