Кто может остановить распространение вредоносной рекламы?

29.08.2015 | 17:37 Аналитика

Вредоносные программы, маскирующиеся под рекламу, являются растущей проблемой, и рекламная индустрия должна знать, как отличить мошенников от легитимных компаний.

Как показывает практика, распространение вредоносного ПО с помощью интернет-рекламы становится все более популярным среди киберпреступников. Рекламная индустрия должна переосмыслить методы работы с рекламой.

Только в августе исследователи антивирусной фирмы Malwarebytes нашли и сообщили о нескольких так называемых malvertising кампаниях, в том числе большой кампании, вставляющей вредоносную рекламу в рекламную сеть, используемую Yahoo и его дочерними сайтами, такими как News, Finance и Games. Те же злоумышленники обманули рекламную сеть, используемую eBay. Аналогичные кампании на этой неделе затронули посетителей сайта знакомств PlentyOfFish, сайта медиа-контента провайдера телекоммуникаций Telstra в Австралии. Та же самая рекламная сеть показывает вредоносную рекламу на MSN, сообщает Malwarebytes.

Malvertising-кампания, затронувшая посетителей yahoo.com, являлась работой группы российских хакеров под названием Fessleak, говорит Патрик Белчер, руководитель по безопасности из Invincea. Fessleak купила показ рекламного видео в режиме реального времени в рекламной сети, планируя заразить посетителей Yahoo с помощью кликфрод ботов, и установить программы-вымогатели. Оказывается, Fessleak всегда использовали уязвимости нулевого дня во Flash, чтобы заразить большое количество жертв, у которых нет никаких шансов пропатчить эти уязвимости.

Эксплойты нулевого дня от Hacking Team, производителя программного обеспечения для правительственного шпионажа, «были золотым дном» для Fessleak, сказал Белчер. В то время как Adobe уже исправила уязвимость, пользователи, которые еще не успели установить обновления, были уязвимы для атаки.

Механика зловредной рекламы

Кампания зловредной рекламы по существу делится на две части: сама реклама, которая обычно перенаправляет жертв на другой сайт, и веб-сайт, который содержит эксплойт-кит, вроде Angler или Nuclear.

Эксплойт-кит атакует несколькими различными способами, и ищет непропатченное программное обеспечение или другие уязвимости, чтобы установить полезную нагрузку — вредоносные программы для клик-фрода и ботнетов, вымогатели и банковские трояны на компьютерах пользователей. В настоящее время популярны эксплойт-киты, включающие уязвимости нулевого дня Flash, говорит Белчер.

В случае Telstra, посетители видели, якобы предложение по продаже Lamborghini Gallardo, но сокращенный URL (через Google URL Shortener) направлял пользователей на отдельный веб-сайт с эксплойт-китом Nuclear, устанавливающим банковских троянов, согласно информации исследователя из Malwarebytes Джероми Сегура.

Преступники не нацелены на конкретный сайт или группу пользователей при вставке вредоносной рекламы в рекламные сети, но ориентируются на категорию сайтов или профиль типичного жертвы. Сеть решает, когда и на каком сайте отобразить рекламу, в зависимости от категорий, указанных рекламодателем. Fessleak нацелены на коммерческие сайты, например, но другой популярной целевой категорией являются сайты, принадлежащие провайдерам и телекоммуникационным компаниям, вроде Telstra, заявляет Белчер.

Malvertising кампании увеличились на 325% в прошлом году, согласно докладу Cyphort Labs, опубликованному на этой неделе. Аналогичный доклад от Risk IQ говорит, что кампании зловредной рекламы выросли на 260% в первой половине 2015 года по сравнению с аналогичным периодом 2014 года. В начале этого месяца Invincea признали malvertising в качестве одной из самых больших угроз безопасности конечных точек, в результате чего, по оценкам, нанесенный ущерб составляет $525 млн за первые шесть месяцев 2015 года. Белчер назвал июнь «худшим месяцем зловредной рекламы».

Как обмануть рекламную сеть

В начале кампании преступники должны обмануть рекламную сеть, чтобы заставить ее принять свою рекламу. Многие рекламные сети позволяют легко присоединиться в качестве рекламодателя, предлагая открытую форму регистрации, и взымая довольно низкую плату. Если злоумышленник использует ворованные кредитные карты или деньги, заработанные с других онлайн-мошеннических предприятий, $400 или около того, не являются серьезным препятствием для вступления, сказал Белчер.

Это обеспечивает легкий доступ, поэтому некоторые из небольших рекламных сетей в последнее время договорились запретить открытую регистрацию и ввести более высокие вступительные взносы, сказал он. Требование углубленной проверки анкетных данных и обязательства расходов в размере $5000 в месяц, как правило, останавливают мошенников.
«Распространители зловредной рекламы известны своей жадностью», говорит Белчер. Они пытаются максимизировать свою прибыль и не хотят ежемесячно много платить.

Другой способ, которым распространители зловредного ПО обманывают рекламные сети, заставляя их рассматривать себя как легитимных рекламодателей – демонстрация изначально чистой, безвредной рекламы. После того, как рекламная сеть одобрила рекламу, рекламодатель может поменять ее на зловредную, переправляющую на небезопасный сайт. Это даже проще осуществить, если рекламодатель имеет право размещать рекламу на своих собственных серверах, а не на серверах рекламных сетей.

Это позволяет злоумышленникам проверять входящие IP-адреса. Сканерам рекламных сетей они показывают безвредную рекламу, а вредоносную всем остальным.

В то время как некоторые из самых больших рекламных сетей требуют, чтобы вся реклама была размещена на их сервере, это не работает во всех случаях. Рекламные сети могут не захотеть платить дополнительные деньги за обслуживание размещенной рекламы, или рекламодатели могут захотеть сами хранить рекламу, чтобы собирать более точную информацию. Если реклама размещается в сети, то ее труднее подменить на зловредную, но рекламная индустрия в целом еще не перешла к этой практике.

Индустрия признает проблему зловредной рекламы и работает, чтобы утвердить лучшие практики, говорит Белчер. Это не обязательно является проблемой технологий, поскольку преступники могут обмануть сканеры и другие механизмы. Лучшие практики и новые процессы должны быть приняты повсеместно, чтобы только легитимные рекламодатели могли попасть в сети, сказал он.

Тот факт, что эксплойты Hacking Team были включены в киты, используемые в недавних зловредных рекламных кампаниях, не удивили исследователей, поскольку создатели регулярно обновляли свои инструменты, включая уязвимости нулевого дня Flash. Наборы Angler и Nuclear, упоминающиеся в связи с последними кампаниями зловредной рекламы, сегодня являются одними из самых популярных среди киберпреступников. На самом деле, Angler является одним из самых быстрых в принятии новых уязвимостей нулевого дня, и являлся первым оружием для Hacking Team.

Благодаря эксплойт-китам преступникам больше не нужен высокий уровень мастерства, чтобы начать кампанию со сложными инструментами, говорит Джордж Курц из Crowdstrike. «Рынок позволяет покупать то, что вам нужно», добавляет он.

Формирование обороны

Распространители зловредной рекламы используют нормальное веб-поведение, когда пользователи посещают сайты и смотрят рекламу наряду с контентом, в котором они заинтересованы. Как следствие, этот вектор атаки трудно заблокировать. Предприятия и пользователи должны поддерживать в актуальном состоянии операционную систему и установленное программное обеспечение, устанавливать последние патчи, чтобы эксплойт-киты не смогли легко достигнуть своей цели. Антивирусы и другое программное обеспечение безопасности может контролировать и блокировать зловредную рекламу, поэтому важно, чтобы они всегда были в актуальном состоянии. Предприятия могут использовать и другие тактики для защиты: белый список URL-адресов, фильтрация URL-адресов на основе веб-репутации, или использование безопасных веб-шлюзов, чтобы проанализировать ссылки в режиме реального времени.

Можно выключить Flash в браузерах и запретить всем сторонним плагинам воспроизведение зловредной рекламы, но важно иметь в виду, что не вся зловредная реклама опирается на уязвимости Flash. Тем не менее, поскольку вектор атаки опирается на рекламу, демонстрируемую на веб-странице, представляется целесообразным использование блокировщиков рекламы.

Рекламодатели не любят блокировщиков рекламы, но им, возможно, потребуется пересмотреть свою позицию. Adobe и PageFair оценивают потери глобального дохода из-за заблокированных рекламных объявлений в 2015 году в размере более чем $21.8 млрд. Эта цифра может быть необъективной, но факт остается фактом — блокировщики рекламы угрожают доходам отрасли.

При этом, блокировщики становятся все более популярными. Adblock Plus — один из наиболее известных блокировщиков рекламы, скачивают от 2.5 до 3 млн человек в неделю, говорит представитель Adblock Plus Бен Уильямс. Таких показателей они достигли в 2014 году после серии атак зловредной рекламы против известных брендов, и остаются постоянными до сегодняшнего дня. «Это показывает, что все больше и больше людей осознают опасности, связанные со зловредной рекламой, и пытаются защитить себя», сказал Уильямс.

Блокировщики рекламы не разбираются — хорошая или плохая реклама, они блокируют всю. Рекламной индустрии придется придумать — как защитить пользователей от вредоносной рекламы, заражающей миллионы интернет-пользователей вредоносными программами.