Maliciozne reklame na nekoliko popularnih sajtova, računari posetilaca zaraženi trojancem Kovter

Vesti, 08.01.2015, 07:56 AM

Poslednji dan prošle godine i početak januara ove godine kriminalci su iskoristili za malvertajzing sa ciljem širenja malvera preko malicioznih reklama koje su preko AOL reklamne mreže prikazivane posetiocima dva sajta koji su u vlasništvu The Huffington Posta, kao i nekoliko drugih sajtova.

Krajem prošle godine, istraživači Cyphort Labsa otkrili su maliciozne reklame koje su prikazivane posetiocima američke i kanadske verzije popularnog web sajta The Huffington Post. Maliciozna aktivnost je najpre primećena 31. decembra na kanadskoj verziji sajta, da bi 3. januara ista aktivnost bila uočena i na američkoj verziji sajta.

Maliciozne reklame su kroz niz preusmeravanja usmeravale posetioce na web stranicu na kojoj su hostovani exploit alati Neutrino i Sweet Orange, a uspešan napad bi bio završen preuzimanjem verzije trojanca Kovter koji je ustvari ransomware koji zaključava ekran inficiranih računara onemogućavajući žrtve da ih koriste.

Osim web sajtova Huffington Posta, ovom kampanjom pogođeni su i sajtovi LA Weekly, Houston Press, Soap Central, Game Zone i Weather Bug, kao i neki drugi sajtovi.

Napadači su koristili mešavinu HTTP i HTTPS preusmeravanja da bi prikrili servere uključene u ovaj napad. HTTPS preusmerivač je hostovan na Google App Engine stranici, što je otežalo analizu jer je HTTPS saobraćaj kriptovan.

Kriminalci su za napad koristili poljske top level domene (“.pl”), koje su ili sami registrovali ili do kojih su došli kompromitovanjem legitimnih sajtova.

Kriminalci su za distribuciju malicioznih reklama koristili reklamne mreže advertising.com i adtech.de koje su u vlasništvu AOL-a.

U ovom trenutku, napad je zaustavljen, pošto je Cyphort Labs obavestio AOL o svom otkriću.