Информационная платформа Microsoft Network — MSN — была использована злоумышленниками для масштабного распространения эксплоитов Angler. Взломав сеть рекламного партнера MSN, хакеры под видом стандартных баннеров выкладывали вредоносные ссылки, ведущие на сайт, с которого пользовательский компьютер подвергался атаке. Таким образом, освоив взлом глобальных рекламно-баннерных сетей, хакеры сделали источником киберугроз такие респектабельные интернет-сервисы как MSN, AOL, eBay.
По заявлению ИБ-аналитика компании Malwarebytes Жерома Сегура, взлом баннерной сети, связанной с веб-порталом MSN, позволил злоумышленникам провести масштабную кампанию по распространению экплоитов Angler. Зная, что все рекламно-баннерное обеспечение платформы MSN осуществляется через партнерский рекламно-сетевой сервис AdSpirit.de, хакеры целенаправленно обошли защиту рекламной сети, полностью перехватив трансляцию рекламных баннеров. Далее под видом стандартных баннерных модулей, появляющихся на сайте MSN, злоумышленники стали распространять зловреды. И ничего не подозревающий посетитель сайта MSN, кликая по тривиальному с виду рекламному баннеру, оказывался на вредоносном ресурсе, где содержался набор эксплоитов Angler и с которого на пользовательский компьютер осуществлялась атака.
Учитывая, что платформу Microsoft ежедневно посещает порядка 10 млн пользователей, киберопасность нависла над огромной аудиторией. Сегур отметил, что ранее — в конце августа —киберпреступники за несколько дней «прогнали» через эту сеть опасную рекламу на таких популярных порталах как Yahoo и The Huffington Post. Вредоносный код был проработан достаточно профессионально, и мог, внедрившись в систему, оставаться там незамеченным в течение многих дней. Например, в недрах весьма защищенной платформы Yahoo! обезвредить такой вирус смогли только спустя 6 дней. За это время с его помощью на многочисленные ПК пользователей поисковика Yahoo! были заброшены шифровальные программы-вымогатели... Такая же схему внедрения через рекламную сеть была использована злоумышленниками впоследствии и для атак таких популярных онлайн-сервисов как Weather.com, Drudge, Wunderground и др.
Разбирая инцидент с компрометацией площадки MSN, эксперты сумели выяснить всю последовательность перенаправлений: от исходной платформы — до угрозы. Итак, вот этот маршрут.
Сначала — путь внутри рекламно-баннерной сети:
msn.com/en-us/news/politics/dozens-of-clinton-emails-were-classified-from-the-start-us-rules-suggest/ar-BBlXPkl?ocid=iehp (ресурс); lax1.ib.adnxs.com/{redacted}.
Затем — выход на рекламно-баннерная сеть:
pub.adspirit.de/adframe.php?pid=7&ord=[timestamp]prdclick_0.
Переход — на облачную платформу rhcloud.com, принадлежащую известной компании — разработчику ПО RedHat:
trkp-a1009.rhcloud.com/?tr28-0a22 .
Далее — перенаправление на вредоносный URL:
fox23tv.com/?cn67CuYcDcbvV.
Заход на iframe к эксплойт-киту:
abbezcqerrd.irica.wieshrealclimate.com.
И, наконец, контакт с самим эксплойт-китом Angler:
hapme.viwahcvonline.com.
Примечательно, что атаки через AdSpirit.de проводились с использованием TLS-протокола, скрывающего адрес, а также шифрующего данные. По мнению аналитиков, ответом на хакерскую тактику «оседлания» рекламно-баннерных сетей для распространения зловредов могла бы стать консолидированная кампания служб ИБ бизнесов, специализирующихся на рекламном интернет-сервисе. Однако ничего такого не последовало. И такая безнаказанность обернулась новым рецидивом. Вслед за платформой MSN злоумышленники, также использовав вредоносные баннеры, скомпрометировали уже популярную поисково-сервисную платформу AOL, а также глобальную площадку интернет-торговли eBay. Стоит ли ждать ответной реакции и на этот раз, неизвестно.
По заявлению ИБ-аналитика компании Malwarebytes Жерома Сегура, взлом баннерной сети, связанной с веб-порталом MSN, позволил злоумышленникам провести масштабную кампанию по распространению экплоитов Angler. Зная, что все рекламно-баннерное обеспечение платформы MSN осуществляется через партнерский рекламно-сетевой сервис AdSpirit.de, хакеры целенаправленно обошли защиту рекламной сети, полностью перехватив трансляцию рекламных баннеров. Далее под видом стандартных баннерных модулей, появляющихся на сайте MSN, злоумышленники стали распространять зловреды. И ничего не подозревающий посетитель сайта MSN, кликая по тривиальному с виду рекламному баннеру, оказывался на вредоносном ресурсе, где содержался набор эксплоитов Angler и с которого на пользовательский компьютер осуществлялась атака.
Учитывая, что платформу Microsoft ежедневно посещает порядка 10 млн пользователей, киберопасность нависла над огромной аудиторией. Сегур отметил, что ранее — в конце августа —киберпреступники за несколько дней «прогнали» через эту сеть опасную рекламу на таких популярных порталах как Yahoo и The Huffington Post. Вредоносный код был проработан достаточно профессионально, и мог, внедрившись в систему, оставаться там незамеченным в течение многих дней. Например, в недрах весьма защищенной платформы Yahoo! обезвредить такой вирус смогли только спустя 6 дней. За это время с его помощью на многочисленные ПК пользователей поисковика Yahoo! были заброшены шифровальные программы-вымогатели... Такая же схему внедрения через рекламную сеть была использована злоумышленниками впоследствии и для атак таких популярных онлайн-сервисов как Weather.com, Drudge, Wunderground и др.
Разбирая инцидент с компрометацией площадки MSN, эксперты сумели выяснить всю последовательность перенаправлений: от исходной платформы — до угрозы. Итак, вот этот маршрут.
Сначала — путь внутри рекламно-баннерной сети:
msn.com/en-us/news/politics/dozens-of-clinton-emails-were-classified-from-the-start-us-rules-suggest/ar-BBlXPkl?ocid=iehp (ресурс); lax1.ib.adnxs.com/{redacted}.
Затем — выход на рекламно-баннерная сеть:
pub.adspirit.de/adframe.php?pid=7&ord=[timestamp]prdclick_0.
Переход — на облачную платформу rhcloud.com, принадлежащую известной компании — разработчику ПО RedHat:
trkp-a1009.rhcloud.com/?tr28-0a22 .
Далее — перенаправление на вредоносный URL:
fox23tv.com/?cn67CuYcDcbvV.
Заход на iframe к эксплойт-киту:
abbezcqerrd.irica.wieshrealclimate.com.
И, наконец, контакт с самим эксплойт-китом Angler:
hapme.viwahcvonline.com.
Примечательно, что атаки через AdSpirit.de проводились с использованием TLS-протокола, скрывающего адрес, а также шифрующего данные. По мнению аналитиков, ответом на хакерскую тактику «оседлания» рекламно-баннерных сетей для распространения зловредов могла бы стать консолидированная кампания служб ИБ бизнесов, специализирующихся на рекламном интернет-сервисе. Однако ничего такого не последовало. И такая безнаказанность обернулась новым рецидивом. Вслед за платформой MSN злоумышленники, также использовав вредоносные баннеры, скомпрометировали уже популярную поисково-сервисную платформу AOL, а также глобальную площадку интернет-торговли eBay. Стоит ли ждать ответной реакции и на этот раз, неизвестно.
