RoughTed é uma campanha de publicidade maliciosa de grande escala que viu um pico em março deste ano, mas tem sido ativo por pelo menos mais de um ano. Ambos os sistemas operacionais Windows e Mac são direcionados, bem como iOS e Android. A operação é bastante rara em sua abrangência, ter usado uma variedade de abordagens maliciosos de explorar kits para scams online, como golpes de apoio falso tecnologia, atualizações falsas, extensões do navegador desonestos, e assim por diante.
RoughTed também foi detectado usando geolocalização para entregar cargas relevantes para as vítimas exatas. Uma das cargas úteis recentemente implantadas é o infame Cerber ransomware.
RoughTed Malvertising Campaign em detalhes
Jérôme Segura, pesquisador da Malwarebytes, estimou que o tráfego enviado por meio de domínios relacionados ao RoughTed acumulou mais de meio bilhão de acessos. Esse tráfego também levou a muitas infecções bem-sucedidas e isso não é surpresa, pois foi combinado com métodos altamente eficazes que atraem os usuários e contornam os bloqueadores de anúncios.
Quem está por trás da campanha de malvertising também tem aproveitado a infraestrutura de nuvem da Amazon, especialmente sua rede de distribuição de conteúdo. No entanto, essa é apenas uma pequena parte do quebra-cabeça em que os redirecionamentos de anúncios de várias trocas de anúncios são misturados para tornar a decifração da operação bastante desafiadora.
Vários fatores nesta operação se destacam. Os pesquisadores conseguiram determinar que o tráfego vem de milhares de editores, e alguns deles foram até classificados no topo do Alexa 500 sites. Outro fato que vale a pena mencionar é que os domínios associados acumularam mais de meio bilhão de visitas apenas no passado 3 meses.
Impressões digitais e truques para contornar bloqueadores de anúncios também foram incluídos nas campanhas de malvertising. O pior, Contudo, é que a RoughTed ajudou a entregar uma série de cargas maliciosas em várias plataformas, desde golpes online a malware e ransomware.
Os pesquisadores observaram as campanhas da RoughTed de perto e notaram o áspero[.]com referenciador, que estava redirecionando para o kit de exploração RIG. Enquanto eles estavam minerando seu conjunto de dados, eles começaram a ver esse padrão em mais de uma centena de outros domínios.
A maioria desses domínios foi criada por meio do registrador EvoPlus em pequenos lotes com um novo endereço de e-mail .ru ou .ua. Outra semelhança que esses domínios compartilham é que eles estão sendo implantados como um meio de contornar bloqueadores de anúncios.
A maior parte do tráfego da campanha vem de streaming de vídeo ou sites de compartilhamento de arquivos em combinação com encurtadores de URL, o que é típico de malvertising.
Como foi referido anteriormente, muitos dos domínios são classificados no topo do Alexa 1000. Os visitantes desses sites são direcionados com anúncios, alguns dos quais originados da RoughTed.
Pesquisadores de sucesso, por outro lado, fez outra observação curiosa sobre o envolvimento de sites "pessoais" na campanha de malvertising. Pelo visto, os webmasters integraram conscientemente um script de código de anúncio da empresa de publicidade Ad-Maven em suas páginas para monetizar seu site.
Máquinas Mac também direcionadas
Os proprietários de Mac também devem estar cientes dessa campanha de malvertising. Uma atualização falsa do Flash Player foi detectada visando usuários Mac, mascarado como um arquivo que vem da Apple. É desnecessário dizer, mas os usuários devem ser extremamente cautelosos com as atualizações que são "servidas" desta forma. Infelizmente, Os cibercriminosos são muito bons na criação de páginas complicadas e também podem usar táticas de scareware para aumentar a chance de um comprometimento bem-sucedido.
O sistema operacional Windows, por outro lado, tem sido alvo de atualizações falsas para Java e Flash, e também com codecs falsos. Páginas que enganam os usuários para que instalem essas atualizações falsas são misturadas com adware.
Chrome direcionado com extensões de navegador desonestos
Mesmo que o Chrome seja frequentemente referido como um dos navegadores mais seguros, foi vítima da campanha RoughTed. Os usuários podem até ser forçados a baixar extensões maliciosas do Chrome. O pop-up que leva ao download pode conter um texto como “Adicionar extensão para sair" Ou algo desse tipo.
além do que, além do mais, iOS e Android parecem ser direcionados pela campanha.
Em poucas palavras, pesquisadores dizem que é realmente problemático, o fato de que o conteúdo com suporte de anúncios é implantado para distribuir golpes ou malware. O pior é que mesmo os usuários com bloqueadores de anúncios não são poupados e são vítimas da campanha. Quem é responsável? São as redes de anúncios ou os editores que expõem deliberadamente os usuários a códigos maliciosos no interesse da receita de anúncios.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
Você acha estranho que tudo tenha começado em março? As atualizações de março do MS? Os que me ferraram 500 horas de TEMPO DE TRABALHO! Grrrr! Executei todos os tipos de programas de todos os tipos de serviços e não consigo encontrar nada no meu computador que não deveria estar lá, Mas hoje em dia, Estou realmente inseguro do que deveria estar lá de qualquer maneira!!
Sim, A Microsoft tem muito trabalho a fazer, sobre como eles apresentam atualizações… Tenho visto usuários que não conseguem fazer nada, nem mesmo salvar seus trabalhos, e apenas esperam que o cronômetro de contagem regressiva se esgote e o computador reinicie, porque as atualizações foram atrasadas por muito tempo e precisam ser configuradas.. realmente te dá nos nervos.. PS: isto estava ligado 8, Eu acredito..