RoughTed is een grootschalige malvertising campagne die dit jaar een piek zag maart, maar is actief geweest voor ten minste over een jaar. Zowel Windows als Mac-besturingssystemen zijn gericht, evenals iOS en Android. De operatie is vrij zeldzaam in zijn volledigheid, een verscheidenheid van kwaadaardige benaderingen van exploit kits tot online oplichting te hebben gebruikt, zoals nep-tech support oplichting, nep-updates, rogue browserextensies, enzovoort.
RoughTed werd ook gedetecteerd met behulp van geolocatie om relevante ladingen naar de exacte slachtoffers. Een van de recent ingezette payloads is de beruchte Cerber ransomware.
RoughTed Malvertising Campagne in Detail
Jérôme Segura, onderzoeker bij Malwarebytes, Geschat wordt dat het verkeer dat via domeinen die verband houden met RoughTed opgelopen meer dan een half miljard klappen. Dit verkeer leidde ook tot vele succesvolle infecties en dit is geen verrassing, want het werd gecombineerd met zeer effectieve methoden die gebruikers en bypass-ad-blockers te lokken.
Wie zit er achter de malvertising campagne is ook gebruik te maken van de cloud-infrastructuur Amazon, met name de Content Delivery Network. Dit is echter slechts een klein deel van de puzzel waar ad omleidingen uit verschillende ad beurzen in worden gemengd om het ontcijferen van de operatie heel uitdagend.
Verschillende factoren in deze operatie opvallen. De onderzoekers waren in staat om vast te stellen dat het verkeer afkomstig van duizenden uitgevers, en sommige van hen waren zelfs gerangschikt in de top Alexa 500 websites. Een ander feit dat het vermelden waard is, is dat de bijbehorende domeinen opgelopen meer dan een half miljard bezoeken alleen in het verleden 3 maanden.
Fingerprinting en trucs omzeilen van ad-blockers werden ook opgenomen in de malvertising campagnes. Het ergste, echter, is dat RoughTed heeft geholpen leveren een aantal kwaadaardige payloads op verschillende platformen, variërend van online oplichting malware en ransomware.
Onderzoekers waargenomen RoughTed campagnes op de voet en merkte de roughted[.]met verwijzer, die werd omgeleid naar de RIG benutten kit. Terwijl ze waren mijnbouw hun dataset, ze begonnen te zien dat patroon voor meer dan honderd andere domeinen.
De meeste van deze domeinen zijn gemaakt via de EvoPlus registrar in kleine series met een nieuwe .ru of .ua e-mailadres. Een andere overeenkomst die deze domeinen te delen is dat ze worden ingezet als een betekenen voor ad-blockers te omzeilen.
Het grootste deel van het verkeer voor de campagne is afkomstig van streaming video of file sharing sites in combinatie met URL-shorteners wat een typisch iets voor malvertising.
Zoals eerder vermeld, veel van de domeinen zijn gerangschikt op de top Alexa 1000. Bezoekers van deze websites zijn gericht met advertenties waarvan sommige afkomstig zijn van RoughTed.
Sucure onderzoekers, anderzijds, maakte nog een nieuwsgierig opmerking over de betrokkenheid van ‘persoonlijk’ websites in de malvertising campagne. Blijkbaar, webmasters bewust geïntegreerd een advertentie code script van reclamebureau Ad-Maven in hun pagina's naar hun website geld te verdienen.
Mac Machines Ook Gerichte
Mac-bezitters moet zich ook bewust van deze malvertising campagne. Een nep-update voor Flash Player is gedetecteerd targeting Mac-gebruikers, vermomd als een bestand dat afkomstig is van Apple. Het is onnodig om te zeggen, maar gebruikers moeten extra voorzichtig zijn met updates die worden “geserveerd” op deze manier. Helaas, cybercriminelen zijn erg goed in het maken van lastige pagina's en kunnen ook gebruik maken van scareware tactiek om de kans op een geslaagd compromis te verbeteren.
Het Windows-besturingssysteem, anderzijds, is gericht, met nep-updates voor Java en Flash, en ook met nep-codecs. Pages tricking gebruikers tot het installeren van dergelijke nep-updates worden gemengd met adware.
Chrome Gerichte met Rogue Browser Extensions
Hoewel Chrome wordt vaak genoemd als een van de veiligste browsers, het is het slachtoffer geworden van de RoughTed campagne. Gebruikers kunnen zelfs worden gedwongen om kwaadaardige Chrome-extensies downloaden. De pop-up die leidt tot de download kan een tekst als “bevattenextensie toe te voegen om te vertrekken”Of iets dergelijks.
Bovendien, zowel iOS en Android lijken te worden gericht op de campagne.
In een notendop, onderzoekers zeggen dat het echt lastig, het feit dat de advertentie-ondersteunde content wordt ingezet om oplichting of malware te verspreiden. Wat erger is, is dat zelfs gebruikers met een ad-blockers niet gespaard en het slachtoffer zijn van de campagne. Wie is verantwoordelijk? Is het de ad-netwerken of is het de uitgevers die gebruikers in staat om kwaadaardige code bewust bloot in het belang van de advertentie-inkomsten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij:
Vindt u het vreemd dat het allemaal begon maart? The March update van MS? Degenen die mij uit over hebben geschroefd 500 uur van de werktijd! Grrrr! Hebben gelopen alle soorten programma's van allerlei diensten en kan niets op mijn computer die niet wordt verondersteld om daar te vinden, maar tegenwoordig, Ik ben echt niet zeker van wat zou moeten er hoe dan ook!!
Ja, Microsoft hebben een hoop werk te doen, over hoe ze updates presenteren… Ik heb gebruikers die niet in staat om iets te doen, zelfs niet hun werk op te slaan en gewoon wachten op de countdown timer te lopen en hun computer opnieuw opgestart zijn, omdat de updates zijn vertraagd veel te lang en ze moeten worden opgezet.. echt op je zenuwen.. PS: dit was op 8, i geloven..