ПОДЕЛИТЬСЯ

teslacrypt-640x577[1]
Если вы геймер (или кто угодно еще), то вы навряд ли захотели бы увидеть эту картинку
Кампания по распространению вредоносной рекламы на момент 15 марта могла достичь десятков тысяч инфицированных пользовательских компьютеров в сутки.

Компании по обеспечению интернет безопасности предупреждают, что мэйнстрим вебсайты, такие как The New York Times, BBC, MSN и AOL стали жертвами новейшей эпидемии распространения вредоносной рекламы, которая пытается скрытно установить программу крито-вымогатель и другие вредоносные программы на компьютеры ничего не подозревающих посетителей сайтов.

Согласно сообщению в блоге, опубликованном Trend Micro, недоброкачественная реклама может быть просмотрена десятками тысяч посетителей за последние 24 часа. Новая рекламная кампания началась на прошлой неделе, когда «Angler» — тулкит, продающий эксплойты для Adobe Flash, Microsoft Silverlight и других программ, широко использующихся для просмотра интернет-контента, начал проталкивать атакующую баннерную рекламу через скомпрометированную рекламную сеть.

Согласно другому сообщению в блоге группы SpiderLabs Trustwave, один из JSON-файлов, распространяемых через баннерную рекламу, содержит более 12 000 строк кода, с трудом поддающегося разбору. Когда исследователи расшифровали этот код, они обнаружили, что в нем содержится длинный список продуктов и инструментов обеспечения безопасности, которые вирус должен был обходить, в попытке остаться незамеченным.

Исследователи SpiderLabs Дэниэл Чечик (Daniel Chechik), Саймон Кенин (Simon Kenin) и Рами Коган (Rami Kogan) пишут:

«Если код в момент выполнения не находит никакую из перечисленных программ, он продолжает выполняться и добавляет iframe к телу загружаемого кода в html, в котором выставлена загрузка стартовой страницы эксплойта Angler EK. В случае успешной загрузки, Angler инфицирует компьютер несчастной жертвы трояном Bedep и вымогателем TeslaCrypt, таким образом удваивая проблему».

Уточнение: В соответствии с сообщением от Malwarebytes, шквал вредоносной рекламы начался в прошедшие выходные, практически с нуля. Он ударил по некоторым крупнейшим новостным агентствам, включая msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com и newsweek.com. В список пораженных сетей попали принадлежащие Google, AppNexis, AOL и Rubicon. Атаки ведутся с двух подозрительных доменов, включая trackmytraffic[c],biz и talk915[.]pw.

В соотвестсвии с заявлением SpiderLabs, реклама также расползлась по таким сайтам, как answers.com, zerohedge.com и infolinks.com. Законные мэйнстрим-сайты оказываются вовлеченными в распространение зловредов с доменных имен, связанных со скомпрометированными рекламными сетями. Наиболее распространенное доменное имя в текущей кампании brentsmedia[.]com. Записи регистрации доменных имен whois показывают, что домен принадлежал компании онлайн-маркетинга вплоть до 3 декабря 2015, когда действие регистрации домена истекло. Он был перерегистрирован текущим владельцем 6 марта 2016, за день до того, как началось распространение зловредной рекламы.

brentsmedia-whois-data-640x455[1]Другие доменные имена, использующиеся для атаки — evangmedia[.]com и shangjiamedia[.]com. Исследователи SpiderLabs считают, что те, кто продвигают зловредные объявления, ищут просрченные домены, содержащие «media», с целью извлечь репутационную выгоду от «законного» адреса.

Эта кампания подчеркивает важную роль, которую играет интеллектуальный просмотр в безопасном пребывании онлайн. Одной из важнейших действий пользователей может быть уменьшение того, что исследователи называют «поверхность атаки». Это означает деинсталляцию таких программ, как Adobe Flash, Microsoft Silverlight и прочих расширений броузера от сторонних производителей, если только их наличие не требуется со всей определенностью. Другим важным компонентом безопасного просмотра страниц в интернете является установка обновлений — так скоро, настолько быстро они появляются, а так же использование 64-битной версии Chrome везде, где только возможно.  Пользователям Windows не повредит установка Windows 10 и использование Enhanced Mitigation Experience Toolkit от Microsoft.

Данная статья не учитывает действие криптографических вирусов-вымогателей, распространяющихся в ходе рекламных кампаний, за исключением упомянутых SpiderLabs, включающих TeslaCrypt, о котором известно на текущий момент, что он инфицирует только компьютеры под управлением Windows. Но с учетом того, что на прошлой неделе был найден зловред-вымогатель под Mac, пользователям всех платформ следует воспринять угрозу со всей серьезностью.

Источник: Arstechnica

13 КОММЕНТАРИИ

  1. Довольно странно хранить подобный текстовый файл. А, вообще, я несколько удивляюсь, что люди ещё не пользуются NoScript. Я так вообще, перешел на Links. Веб должен оставляться в первую очередь гипертекстовой средой.

        • А вирусы те с неба падают. Такой себе естественный отбор на основе факторов, искусственно формируемыми какими-то уродами.

          И работает на ура — ведь подавляющая часть юзеров в результате этого «отбора» сидит на вирусоустойчивом линуксе, а вовсе не на подверженной атакам винде.

          Некоторые, для того, чтобы начать быстро бегать, вместо тренировок, предпочитают прищемить себе какую-нибудь часть тела. Но лучше не себе.

          • Собрались три праграмера и решают как на жизнь зарабатывать. Один решил писать вирусы, другой антивирусы (Касперский в юности). Тут вмещался Билли и говорит: «без меня это не чего работать не будет, нужно работать сообща». К стати винда довольно защищеная ось, от вирусов не от Билли, если юзерам свободу не довать. «Ее просто нужно уметь готовить» и антивирусам не очень доверять и тем более не руковолствоватся рекламой. Давно прописаны простые правила «личной гигиены» в мнтернет, но кто к ним из юзеров хочет прислушиваться? Каждый юзер он выбирает особый путь развития, так ему удобнее не учится не мозги напрягать не нужно. За это и должен платить или расплачиватся все время.

ОСТАВЬТЕ ОТВЕТ