Интернет под атакой крипто-вымогателей

teslacrypt-640x577[1]

Если вы геймер (или кто угодно еще), то вы навряд ли захотели бы увидеть эту картинку

Кампания по распространению вредоносной рекламы на момент 15 марта могла достичь десятков тысяч инфицированных пользовательских компьютеров в сутки.

Компании по обеспечению интернет безопасности предупреждают, что мэйнстрим вебсайты, такие как The New York Times, BBC, MSN и AOL стали жертвами новейшей эпидемии распространения вредоносной рекламы, которая пытается скрытно установить программу крито-вымогатель и другие вредоносные программы на компьютеры ничего не подозревающих посетителей сайтов.

Согласно сообщению в блоге, опубликованном Trend Micro, недоброкачественная реклама может быть просмотрена десятками тысяч посетителей за последние 24 часа. Новая рекламная кампания началась на прошлой неделе, когда “Angler” – тулкит, продающий эксплойты для Adobe Flash, Microsoft Silverlight и других программ, широко использующихся для просмотра интернет-контента, начал проталкивать атакующую баннерную рекламу через скомпрометированную рекламную сеть.

Согласно другому сообщению в блоге группы SpiderLabs Trustwave, один из JSON-файлов, распространяемых через баннерную рекламу, содержит более 12 000 строк кода, с трудом поддающегося разбору. Когда исследователи расшифровали этот код, они обнаружили, что в нем содержится длинный список продуктов и инструментов обеспечения безопасности, которые вирус должен был обходить, в попытке остаться незамеченным.

Исследователи SpiderLabs Дэниэл Чечик (Daniel Chechik), Саймон Кенин (Simon Kenin) и Рами Коган (Rami Kogan) пишут:

“Если код в момент выполнения не находит никакую из перечисленных программ, он продолжает выполняться и добавляет iframe к телу загружаемого кода в html, в котором выставлена загрузка стартовой страницы эксплойта Angler EK. В случае успешной загрузки, Angler инфицирует компьютер несчастной жертвы трояном Bedep и вымогателем TeslaCrypt, таким образом удваивая проблему”.

Уточнение: В соответствии с сообщением от Malwarebytes, шквал вредоносной рекламы начался в прошедшие выходные, практически с нуля. Он ударил по некоторым крупнейшим новостным агентствам, включая msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com и newsweek.com. В список пораженных сетей попали принадлежащие Google, AppNexis, AOL и Rubicon. Атаки ведутся с двух подозрительных доменов, включая trackmytraffic[c],biz и talk915[.]pw.

В соотвестсвии с заявлением SpiderLabs, реклама также расползлась по таким сайтам, как answers.com, zerohedge.com и infolinks.com. Законные мэйнстрим-сайты оказываются вовлеченными в распространение зловредов с доменных имен, связанных со скомпрометированными рекламными сетями. Наиболее распространенное доменное имя в текущей кампании brentsmedia[.]com. Записи регистрации доменных имен whois показывают, что домен принадлежал компании онлайн-маркетинга вплоть до 3 декабря 2015, когда действие регистрации домена истекло. Он был перерегистрирован текущим владельцем 6 марта 2016, за день до того, как началось распространение зловредной рекламы.

brentsmedia-whois-data-640x455[1]Другие доменные имена, использующиеся для атаки – evangmedia[.]com и shangjiamedia[.]com. Исследователи SpiderLabs считают, что те, кто продвигают зловредные объявления, ищут просрченные домены, содержащие “media”, с целью извлечь репутационную выгоду от “законного” адреса.

Эта кампания подчеркивает важную роль, которую играет интеллектуальный просмотр в безопасном пребывании онлайн. Одной из важнейших действий пользователей может быть уменьшение того, что исследователи называют “поверхность атаки”. Это означает деинсталляцию таких программ, как Adobe Flash, Microsoft Silverlight и прочих расширений броузера от сторонних производителей, если только их наличие не требуется со всей определенностью. Другим важным компонентом безопасного просмотра страниц в интернете является установка обновлений – так скоро, настолько быстро они появляются, а так же использование 64-битной версии Chrome везде, где только возможно.  Пользователям Windows не повредит установка Windows 10 и использование Enhanced Mitigation Experience Toolkit от Microsoft.

Данная статья не учитывает действие криптографических вирусов-вымогателей, распространяющихся в ходе рекламных кампаний, за исключением упомянутых SpiderLabs, включающих TeslaCrypt, о котором известно на текущий момент, что он инфицирует только компьютеры под управлением Windows. Но с учетом того, что на прошлой неделе был найден зловред-вымогатель под Mac, пользователям всех платформ следует воспринять угрозу со всей серьезностью.

Источник: Arstechnica



Categories: Безопасность, Важное, Криптография, Происшествия

Tags: , , , ,

13 replies

  1. Shadow Defender или прочие виртуалки. Работайте с них и плевать на вирусы. Закончили, перезагрузили, все как новое. Абсолютная безопасность.

  2. А я что-то не понял. Зловред устанавливается на комп жертвы просто после просмотра таких баннеров? Или надо кликнуть на него?

    • Кликнуть и разрешить установить некую программу. Насколько я понимаю, без этого зловред не сможет заразить компьютер.

  3. Довольно странно хранить подобный текстовый файл. А, вообще, я несколько удивляюсь, что люди ещё не пользуются NoScript. Я так вообще, перешел на Links. Веб должен оставляться в первую очередь гипертекстовой средой.

    • NoScript не выход. Он парализует функционал огромного числа нормальных сайтов. Защита от вымогателей проста, как мычание: регулярный бэкап данных на флешку или диск.

      • Конкретно от этой атаки прекрасно должен защищать элементарный Adblock.

        Но бэкап да, никто не отменял. Главное не забывать его делать. И приватные ключи не хранить на рабочем винте.

      • Не надо самому делать бекап данных, есть для этого сервисы и программы…

  4. Приятно порадовали, вирусы хорошийспособ повышения грамотности пользователей.

    • “вирусы хороший способ повышения грамотности пользователей.”

      Если бы так!

      Вирусы – хороший повод увеличивать продажи антивирусов)))

    • Правда думаете, что чел, которого вынудили заплатить выкуп в биткойнах, продолжит покупать их для себя? Готовиться к следующему выкупу?

      • Вирусы способствуют эволюции софта. Естественный отбор юзеров и ОС, такова природа, без него тормазится развите.

        • А вирусы те с неба падают. Такой себе естественный отбор на основе факторов, искусственно формируемыми какими-то уродами.

          И работает на ура – ведь подавляющая часть юзеров в результате этого “отбора” сидит на вирусоустойчивом линуксе, а вовсе не на подверженной атакам винде.

          Некоторые, для того, чтобы начать быстро бегать, вместо тренировок, предпочитают прищемить себе какую-нибудь часть тела. Но лучше не себе.

          • Собрались три праграмера и решают как на жизнь зарабатывать. Один решил писать вирусы, другой антивирусы (Касперский в юности). Тут вмещался Билли и говорит: “без меня это не чего работать не будет, нужно работать сообща”. К стати винда довольно защищеная ось, от вирусов не от Билли, если юзерам свободу не довать. “Ее просто нужно уметь готовить” и антивирусам не очень доверять и тем более не руковолствоватся рекламой. Давно прописаны простые правила “личной гигиены” в мнтернет, но кто к ним из юзеров хочет прислушиваться? Каждый юзер он выбирает особый путь развития, так ему удобнее не учится не мозги напрягать не нужно. За это и должен платить или расплачиватся все время.

Поделитесь своими мыслями

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s