Интернет под атакой крипто-вымогателей

teslacrypt-640x577[1]

Если вы геймер (или кто угодно еще), то вы навряд ли захотели бы увидеть эту картинку

Кампания по распространению вредоносной рекламы на момент 15 марта могла достичь десятков тысяч инфицированных пользовательских компьютеров в сутки.

Компании по обеспечению интернет безопасности предупреждают, что мэйнстрим вебсайты, такие как The New York Times, BBC, MSN и AOL стали жертвами новейшей эпидемии распространения вредоносной рекламы, которая пытается скрытно установить программу крито-вымогатель и другие вредоносные программы на компьютеры ничего не подозревающих посетителей сайтов.

Согласно сообщению в блоге, опубликованном Trend Micro, недоброкачественная реклама может быть просмотрена десятками тысяч посетителей за последние 24 часа. Новая рекламная кампания началась на прошлой неделе, когда «Angler» — тулкит, продающий эксплойты для Adobe Flash, Microsoft Silverlight и других программ, широко использующихся для просмотра интернет-контента, начал проталкивать атакующую баннерную рекламу через скомпрометированную рекламную сеть.

Согласно другому сообщению в блоге группы SpiderLabs Trustwave, один из JSON-файлов, распространяемых через баннерную рекламу, содержит более 12 000 строк кода, с трудом поддающегося разбору. Когда исследователи расшифровали этот код, они обнаружили, что в нем содержится длинный список продуктов и инструментов обеспечения безопасности, которые вирус должен был обходить, в попытке остаться незамеченным.

Исследователи SpiderLabs Дэниэл Чечик (Daniel Chechik), Саймон Кенин (Simon Kenin) и Рами Коган (Rami Kogan) пишут:

«Если код в момент выполнения не находит никакую из перечисленных программ, он продолжает выполняться и добавляет iframe к телу загружаемого кода в html, в котором выставлена загрузка стартовой страницы эксплойта Angler EK. В случае успешной загрузки, Angler инфицирует компьютер несчастной жертвы трояном Bedep и вымогателем TeslaCrypt, таким образом удваивая проблему».

Уточнение: В соответствии с сообщением от Malwarebytes, шквал вредоносной рекламы начался в прошедшие выходные, практически с нуля. Он ударил по некоторым крупнейшим новостным агентствам, включая msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com и newsweek.com. В список пораженных сетей попали принадлежащие Google, AppNexis, AOL и Rubicon. Атаки ведутся с двух подозрительных доменов, включая trackmytraffic[c],biz и talk915[.]pw.

В соотвестсвии с заявлением SpiderLabs, реклама также расползлась по таким сайтам, как answers.com, zerohedge.com и infolinks.com. Законные мэйнстрим-сайты оказываются вовлеченными в распространение зловредов с доменных имен, связанных со скомпрометированными рекламными сетями. Наиболее распространенное доменное имя в текущей кампании brentsmedia[.]com. Записи регистрации доменных имен whois показывают, что домен принадлежал компании онлайн-маркетинга вплоть до 3 декабря 2015, когда действие регистрации домена истекло. Он был перерегистрирован текущим владельцем 6 марта 2016, за день до того, как началось распространение зловредной рекламы.

brentsmedia-whois-data-640x455[1]Другие доменные имена, использующиеся для атаки — evangmedia[.]com и shangjiamedia[.]com. Исследователи SpiderLabs считают, что те, кто продвигают зловредные объявления, ищут просрченные домены, содержащие «media», с целью извлечь репутационную выгоду от «законного» адреса.

Эта кампания подчеркивает важную роль, которую играет интеллектуальный просмотр в безопасном пребывании онлайн. Одной из важнейших действий пользователей может быть уменьшение того, что исследователи называют «поверхность атаки». Это означает деинсталляцию таких программ, как Adobe Flash, Microsoft Silverlight и прочих расширений броузера от сторонних производителей, если только их наличие не требуется со всей определенностью. Другим важным компонентом безопасного просмотра страниц в интернете является установка обновлений — так скоро, настолько быстро они появляются, а так же использование 64-битной версии Chrome везде, где только возможно.  Пользователям Windows не повредит установка Windows 10 и использование Enhanced Mitigation Experience Toolkit от Microsoft.

Данная статья не учитывает действие криптографических вирусов-вымогателей, распространяющихся в ходе рекламных кампаний, за исключением упомянутых SpiderLabs, включающих TeslaCrypt, о котором известно на текущий момент, что он инфицирует только компьютеры под управлением Windows. Но с учетом того, что на прошлой неделе был найден зловред-вымогатель под Mac, пользователям всех платформ следует воспринять угрозу со всей серьезностью.

Источник: Arstechnica



Categories: Безопасность, Важное, Криптография, Происшествия

Tags: , , , , ,

Leave a Reply

13 Комментарий на "Интернет под атакой крипто-вымогателей"

Notify of
avatar
Анонимно
Гость

Shadow Defender или прочие виртуалки. Работайте с них и плевать на вирусы. Закончили, перезагрузили, все как новое. Абсолютная безопасность.

Дмитрий
Гость

А я что-то не понял. Зловред устанавливается на комп жертвы просто после просмотра таких баннеров? Или надо кликнуть на него?

Влад
Гость

Кликнуть и разрешить установить некую программу. Насколько я понимаю, без этого зловред не сможет заразить компьютер.

anonymous
Гость

Довольно странно хранить подобный текстовый файл. А, вообще, я несколько удивляюсь, что люди ещё не пользуются NoScript. Я так вообще, перешел на Links. Веб должен оставляться в первую очередь гипертекстовой средой.

Marsupial Cat
Гость

NoScript не выход. Он парализует функционал огромного числа нормальных сайтов. Защита от вымогателей проста, как мычание: регулярный бэкап данных на флешку или диск.

Анонимно
Гость

Не надо самому делать бекап данных, есть для этого сервисы и программы…

Анонимно
Гость

Приятно порадовали, вирусы хорошийспособ повышения грамотности пользователей.

estilibera
Гость

«вирусы хороший способ повышения грамотности пользователей.»

Если бы так!

Вирусы — хороший повод увеличивать продажи антивирусов)))

wpDiscuz