Посетителите на сайта на T-Online станали жертва на малвъртайзинг атака

	Посетителите на сайта на T-Online станали жертва на малвъртайзинг атака
	По данни на компанията, осигуряваща услуги и анализ по инфозащита Invincea, немските интернет потребители наскоро са станали жертва на сериозна малвъртайзинг атака, засегнала няколко големи сайта, между които и този на най-големия интернет доставчик в страната T-Online, собственост на Deutsche Telekom.Въпросната атака е целяла доставката на набор от зловреди, между които банковия троянски кон Tinba, Bedep, зловреден софтуер, целящ превръщането на компютрите в подвластни на атаката зомби машини, осъществяващи кликове върху рекламни съобщения без знанието на жертвата и др. Организаторите на кампанията използвали експлойт за уязвимост във Flash и иновативен метод за доставка на зловреден код, за който писаха Invincea това лято, наречен just-in-time (JIT). За разлика от традиционните механизми за доставка на малуер - посредством посещаването на страница и последвалото компрометиране чрез скритото "пускане" на файл на системата (т.нар. drive-by атаки) и последващо заразяване, посредством фишинг кампания, целяща да накара жертвата да инсталира програма или какъвто и да е друг механизъм за доставката на изпълним файл към системата, при JIT схемата, атакуващата страна изпраща към системата части от кода, които впоследствие използват вградени в Windows инструменти, за да може програмата да се самокомпилира и изпълни. При тази тактика, както традиционните антималуер системи, така и високопрофилните интегрирани корпоративни решения, често са безпомощни да засекат атаката, като както мрежовите филтри, търсещи изпълними файлове в мрежата, така и сендбокс модулите и поведенческите механизми не засичат целия процес по доставка и асемблиране на малуера, тъй като при последния процес се използват познати и считани за доверени Windows инструменти. В конкретния случай, това е било командния интерпретатор в Windows cmd.exe.Атаката е разгледана също и от Malwarebytes, които докладват, че същата атака е засегнала и няколко други високопрофилни сайтове, сред които eBay.de (със 131 млн. месечни посещения), arcor.de (със 7.6 млн. месечни посещения) и swp.de (790 млн. месечни посещения). Компанията съобщава, че за разлика от други малвъртайзинг (от англ.: malware advertising), тук организаторите на атаката са използвали надеждни и известни мрежи за доставка на онлайн реклама, в това число и немската технологична платформа MP New Media. Потребителите са ставали жертва на два от най-популярните комплекти за експлоатиране на уязвимости - Neutrino и Angler, като атаката към посетителите на страницата на немския ISP е продължила четири дни - в периода от 16.10 до 20.10. Представител на Deutsche Telekom съобщава за медиите, че компанията е засякла атаката на 20.10, ограничавайки връзките на доставчика на онлайн реклама към сайта си.Malwarebytes са помогнали също за минимизиране на щетите от атаката, но според тях, кампанията може все още да е активна. Малвъртайзинг схемата за доставка на зловреден код е сравнително нов метод за заразяване на системи, който е изключително гъвкав и труден за регистриране от компаниите, борещи се с киберпресттъпления, поради спецификата на екосистемата по доставка и организация на онлайн реклама и хаотичния свят на агентите и посредниците в целия процес. Освен това, целите на организаторите на тези атаки са най-често легитимни сайтове, и в тази връзка те не биха могли да попаднат в черните списъци със зловредни страници в Мрежата. Едни от най-високопрофилните жертви на подобни атаки са ставали посетителите на страниците на Java.com, Huffington Post, News.Now, YahooNews и др. Това, което потребителите могат да направят, за да ограничат максимално опасността от това да станат жертва на подобни атаки е да използват винаги обновен софтуер при посещението на страници в Интернет, включено антивирусно решение, което да следи в реално време какво се случва на системата, а в случая на известните приставки, като Flash да задействат възможността в браузъра за зареждането им "при поискване", т.е. да не се задействат автоматично. Ако имате инсталирана Java на системата и ви трябва, я забранете в браузъра си (да не се бърка с JavaScript). И разбира се едно възможно решение е използването на блокатори на реклама, но помнете, че хората, доставящи съдържание на любимия ви сайт биха желаели да продължат да ви доставят това съдържание и занапред, и вие може да им помогнете, така че вие решавате.

	Коментари
	Все още няма коментари