Er is nauwelijks een actieve online gebruiker die niet weet wat een PUP (veelal uit eigen ervaring). Op zijn best, potentieel ongewenste programma's bieden weinig tot geen voordeel, en in het slechtste geval, ze kunnen zeer schadelijk zijn voor uw systeem. Naast de toegang tot de ruimte op uw harde schijf, ze vertragen ook uw computer, overspoelen u met opdringerige advertenties, en vaak ook de instellingen van uw browser wijzigen zonder uw medeweten of toestemming. Ongewenste software komt vaak samen met adware en / of spyware gebundeld binnen het installatiepakket.
Adware blijft Malicious
Een nieuw onderzoek mei 2019 bevestigt de kwaadaardige aard van adware en PUP. Onderzoekers Xavier de Carné de Carnavalet en Mohammad Mannan geanalyseerd een bekende speler in de adware bedrijf bekend als Wajam. De onderzoekers onderzochten de evolutie van Wajam in de loop van bijna zes jaar. Vanaf 2016, onthuld door het Bureau van de Privacy Commissioner of Canada, Wajam had “honderden miljoenen installaties” en verzamelde 400TB van persoonlijke gegevens van gebruikers, aldus het rapport.
Wajam is sindsdien rond geweest 2013. In het verleden, het werd aangekondigd als een social search browser add-on die gebruikers in staat stelt om te vinden wat informatie is online doorzocht of gedeeld door hun vrienden op sociale platformen zoals Twitter en Facebook. Aangezien dit is een advertentie-ondersteunde browser plug-in, Wajam is bekend dat diverse advertenties dat sommige gebruikers vinden heel vervelend weer. Wat verandert Wajam in een potentieel ongewenste applicatie is het risico van verschillende infecties die betrokken zijn bij de pop-up, banner en in-tekstadvertenties, die de gebruiker in staat om niet-geverifieerde en onveilige webpagina's kan leiden.
Met andere woorden, Wajam is bekend om advertenties in de browser het verkeer te injecteren, met behulp van technieken die operators gebruik malware, zoals de man-in-the-browser (browser proces injectie) aanvallen gezien in Zeus operaties. Andere voorbeelden zijn anti-analyse en ontwijkingstechnieken, veiligheidsbeleid downgrading en het lekken van gegevens. Lees meer over de Wajam onderzoek.
Hoe werkt de pay-per-install-regeling?? Zoals opgemerkt door Kevin Stevens in een rapport, Security Researcher bij SecureWorks Counter Threat Unit, het Pay-Per-Install-bedrijfsmodel bestaat al vele jaren. Toen het voor het eerst begon, het werd voornamelijk gebruikt om advertenties te verspreiden, terwijl het tegenwoordig voornamelijk wordt gebruikt om spyware- en malwarebedreigingen af te leveren.
Het bedrijf is geïnitieerd door een gelieerde onderneming die geïnteresseerd is in het creëren van een netwerk van geïnfecteerde computers. De genoemde partner meldt zich vervolgens aan bij een PPI-site en ontvangt een bestand van de PPI-provider, die oorspronkelijk een variant was van een adware-programma. Dan, de partner bundelt het door PPI geleverde bestand met een ander programma dat op hun site kan worden gehost. Dit staat ook bekend als een bindprogramma dat de adware van de PPI-site kan combineren met een bekend programma. Het einddoel is dat een slachtoffer het programma downloadt en de adware op hun computer installeert. Wanneer dit gebeurt, de genoemde affiliate wordt betaald per installatie.
Als u software hebt gedownload, meestal freeware, u zeker hebben ervaren adware, of onverwachte, opdringerige pop-up advertenties die uit ongenode komen op uw scherm. PUP's zijn vervelend en dat is een feit niemand kan ontkennen, vooral wanneer er sprake is van een specifiek onderzoek naar de potentiële schade van deze programma's verder te illustreren. Volgens dit onderzoek zijn we op het punt om te overspoelen, ongewenste software is onderdeel van de zeer winstgevende wereldwijde industrie, beschermd door lagen van ontkenning. Geen wonder dat de bundel is zo succesvol!
Het onderzoek hebben we het over wordt beschreven in een paper, “Onderzoeken van Commercial Pay-Per-installeren en de verdeling van de ongewenste software“, en wordt uitgevoerd door onderzoekers van Google uitgevoerd, Universiteit van New York, International Computer Science Institute. onderzoekers “verken het ecosysteem van commerciële pay-per-install (PPI) en de rol die het speelt bij de verspreiding van ongewenste software“.
Wat is commercieel betalen per installatie (PPI)?
Ontwikkelaars van deze families betalen $ 0,10- $ 1,50 per installatie-kosten vooraf dat ze recupereren door monetariseren van gebruikers zonder hun toestemming of door het opladen exorbitante abonnementskosten. Op basis van Google Safe Browsing telemetrie, we schatten dat PPI netwerken rijden over 60 miljoen te downloaden probeert om de drie keer een week bijna die van malware. Terwijl de anti-virus en browsers hebben uitgerold verdedigingen om gebruikers tegen ongewenste software te beschermen, vinden we het bewijs dat PPI netwerken actief verstoren of te ontwijken detectie.
Zoals je kunt zien, er is een sterke verbinding tussen pay-per-install praktijken en de verspreiding van ongewenste toepassingen. Symantec onderzoekers hebben eerder noemde pay-per-install “de nieuwe malware distributienetwerk“, nadruk op het feit dat in de nabije verleden malware (zoals wormen) werd self-voortplanten met behulp van server-side kwetsbaarheden. De onderzoeksresultaten tonen ook de misleidende praktijken van sommige commerciële PPI exploitanten die momenteel volharden, en zal waarschijnlijk blijven doen in de toekomst.
Later verhuisde de aanval focus naar client-side aanvallen en social engineering-technieken (zoals phishing). In deze aanvallen, interactie van de gebruiker nodig is - het potentieel slachtoffer nodig heeft om een bezoek gecompromitteerde website, Open een e-mailbijlage, etc. Hoewel deze technieken zeker geven resultaten, zullen ze niet malware of ongewenste software te verspreiden op grotere schaal.
Dit is hoe de pay-per-install distributie model op de markt komt. Het feit dat het een grijs gebied maakt de zaken heel ingewikkeld om te gaan met.
De pay-per-install distributie model is gebaseerd op het delen van inkomsten en commissie. Malware auteurs hebben niet de middelen of bandbreedte om hun malware te verspreiden op grote schaal. In plaats daarvan een beroep doen op een netwerk van filialen, die verdelen de malware, en in ruil daarvoor betaald krijgen een commissie voor elke te installeren. [via Symantec rapport]
Vanzelfsprekend, commerciële PPI is een zeer effectief te gelde regeling waarbij third-party programma's worden gebundeld met legitieme software. Naast de software de gebruiker in eerste instantie wilde installeren, Hij krijgt ook een bonus - een stuk van ongewenste stukje code dat de prestaties van zijn systeem zal beïnvloeden. De worst case scenario hier is het krijgen van een stuk van vervelende malware. De best case scenario is de plotselinge verschijning van advertenties of pop-up waarschuwingen met betrekking tot een gedetecteerde bedreiging (de bekende tech-support, rogue AV en scareware oplichting).
Echter, die advertenties en pop-ups kan later link naar een gecompromitteerde website geladen met exploits, die meestal eindigt met ransomware verdeling. Of gevoelige gegevens kunnen worden verzameld van gebruikers, die later kunnen worden benut verdere aanvallen, of kan worden verkocht op de zwarte markt. Dus ieder geval scenario is al erg genoeg voor u te willen om het te vermijden!
Tijdens hun onderzoek, de experts van Google, Universiteit van New York, en de International Computer Science Institute richt zich op vier PPI filialen (En de netize, InstallMonetizer, OpenCandy, en Outbrowse) en regelmatig gedownloade software pakketten voor verschillende analyses. Wat ze het meest verraste was de mate waarin de downloads zijn gepersonaliseerd om de kansen van hun lading te maximaliseren wordt geleverd.
Wat zijn de langst lopende PPI Campagnes?
ad Injectoren
Advertentie-injectoren zijn ontworpen om de browse-ervaring van een gebruiker te wijzigen en aanvullende advertenties te vervangen of in te voegen die anders niet op een website zouden verschijnen. Er is waargenomen dat de meeste PPI-netwerken deelnemen aan de distributie van advertentie-injectoren.
Browser instellingen Kapers
Dit zijn bedreigingen die specifiek zijn ontworpen om de instellingen van de browser zodanig te wijzigen dat ze persistent en moeilijk te verwijderen zijn.
Nut van het systeem
Deze omvatten scareware-benaderingen die zijn ontworpen om het slachtoffer bang te maken om een frauduleus product te kopen. Deze categorie bevat verschillende versnellingshulpprogramma's en frauduleuze beveiligingsproducten.
Waarom de gemiddelde gebruiker moet je Care over de PPI Industry
Wist u dat PPI netwerken bieden over het algemeen adverteerders de mogelijkheid om vooraf te controleren of een antivirus-engine op het systeem aanwezig is voorafgaand aan het tonen van het aanbod van de adverteerder? Stiekem, rechts? Deze pre-check is gebaseerd op een zwarte lijst van registry keys, bestandspaden, en register strings die door de bepaalde adverteerder. De onderzoekers maakten een lijst van 58 gemeenschappelijke anti-virus tokens die in een willekeurige steekproef van pre-check eisen verschijnen, samen met de namen van de AV-bedrijven die deelnemen aan VirusTotal.
Dan, ze gescand bieden allemaal installatie-eisen voor die tokens. Wat Zij concludeerden op basis van hun dataset is dat 20% profiteer van PPI downloader mogelijkheden die voorkomen dat installaties gebeurt op systemen uitgerust met een AV-oplossing. Wanneer een AV controle aanwezig is, adverteerders richten op een gemiddelde van 3.6 Het gezin. Wat de onderzoekers zijn van mening is dat de PPI-netwerken ondersteunen ongewenste software-ontwikkelaars als first-class business partners.
Wat kan worden gedaan om de schade van de PPI Campagnes neutraliseren?
In een notendop, de studie blijkt dat PPI affiliate netwerken ondersteunen en ongewenste software te verspreiden, zoals:
- ad injectoren
- Browser instellingen hijackers
- nut van het systeem
Een methode gebruikers vaak een beroep op te ruimen hun browser wordt de Chrome Cleanup Tool. Voorafgaand aan de behoefte om een dergelijke tool te gebruiken, wilt u misschien een dienst als overwegen Google Safe Browsing. De dienst laat client applicaties te controleren URL's tegen Google's regelmatig bijgewerkte lijsten van onveilige bronnen op het web. (Extra veiligheid tips zijn beschikbaar onder het artikel).
De ongewenste installaties zijn zeker meer dan denkbaar - in totaal, de PPI ecosysteem heeft bijgedragen tot meer dan 60 miljoen wekelijkse downloadpogingen. Het succes is deels te wijten aan het feit dat commerciële PPI netwerken evolueren in overeenstemming met de AV-markt.
Hoewel veel AV-oplossingen en browsers zijn begonnen met het integreren van handtekeningen van ongewenste software, de netwerken voortdurend proberen deze beveiligingen te omzeilen. Echter, het enkele feit dat een adverteerder zou ophouden een installeren wanneer een AV aanwezig is op een systeem spreekt boekdelen. Onderschat nooit de kracht van uw antivirusprogramma! En hou je ad-blocker op!
Aanvullende beveiligingstips tegen ongewenste software en malware
- Gebruik extra firewall bescherming. Het downloaden van een tweede firewall is een uitstekende oplossing voor eventuele inbraken.
- Uw programma's moeten minder administratieve macht over wat ze lezen en schrijven op uw computer. Laat ze vraagt u admin toegang voordat.
- Gebruik sterkere wachtwoorden. Sterkere wachtwoorden (bij voorkeur degenen die geen woorden zijn) zijn moeilijker te kraken door verscheidene werkwijzen, inclusief brute dwingen, omdat het bevat pas lijsten met relevante woorden.
- Schakel AutoPlay. Dit beschermt uw computer tegen kwaadaardige uitvoerbare bestanden op USB-sticks of andere externe geheugen vervoerders die onmiddellijk worden ingebracht in deze.
- Disable File Sharing - aanbevolen als u het delen van bestanden tussen uw computer te beveiligen met een wachtwoord aan de dreiging alleen om jezelf te beperken als besmet.
- Schakel op afstand diensten - dit kan verwoestende voor zakelijke netwerken, omdat het een veel schade kunnen veroorzaken op grote schaal.
- Overweeg het uitschakelen of verwijderen van Adobe Flash Player (afhankelijk van de browser).
- Configureer uw mailserver te blokkeren en verwijderen van verdacht bestand attachment met e-mails.
- Mis nooit meer een update voor uw besturingssysteem en software.
- Schakel Infraroodpoorten of Bluetooth.
- Als u een besmette computer in uw netwerk, zorg ervoor om meteen door het uit te schakelen en het loskoppelen van het met de hand uit het netwerk te isoleren.
- Gebruik een krachtige anti-malware oplossing om jezelf te beschermen tegen toekomstige bedreigingen automatisch.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: