كنت قد سمعت من malvertising المدى والتهديدات التي يشكلها ذلك. عادة يتم تقديم Malvertising من قبل قراصنة باستخدام مواقع ظليلة أو القرصنة تلك الشرعية لنشر البرمجيات الخبيثة حمولة. وقد وجد الباحثون في مختبرات تريند مايكرو إلى أنه حتى الخاص يوتيوب جوجل يتم استخدامها من قبل المتسللين لتظهر مثل هذه الإعلانات المارقة. هذه الإعلانات تقود المستخدمين إلى استغلال مجموعات التي يمكن أن سرقة الهوية والمعلومات الشخصية أو المصرفية تفاصيلها.
يذكر التقرير أن بلوق،
في الآونة الأخيرة، رأينا أن هذه الحملة كانت تظهر في الإعلانات عبر يوتيوب أيضا. وكان هذا تطورا مثيرا للقلق: لا كان فقط الإعلانات الخبيثة تظهر على موقع يوتيوب، وكانوا على أشرطة الفيديو مع أكثر من 11 مليون مشاهدة - على وجه الخصوص، الموسيقى والفيديو التي تم تحميلها من قبل شركة تسجيلات رفيعة المستوى.
تم تريند مايكرو البحث عن الاتجاهات malvertising للالأشهر القليلة الماضية، وجئت إلى هذا الاستنتاج يثير الدهشة. تريند مايكرو غني عن القول أن أيا جوجل ويوتيوب يقضي الإعلانات الخبيثة، بدلا من ذلك، يبدو أن للقراصنة على أن تعمل من خلال الحملات الإعلانية اشترى من المعلنين المشروعة. الدولة TrendMicros،
الإعلانات لقد لاحظ لا تؤدي مباشرة إلى مواقع خبيثة من يوتيوب. بدلا من ذلك، يمر حركة المرور من خلال موقعين الإعلان، مما يشير إلى أن مجرمي الإنترنت وراء هذه الحملة اشترى المرور الخاصة بهم من مقدمي مشروع الإعلان.
ما هو Malvertising
هنا هو مقدمة موجزة في عالم malvertising لديك. ينطوي Malvertising حقن الإعلانات محملة الخبيثة أو البرمجيات الخبيثة في شبكات الدعاية المشروعة على الانترنت وصفحات الويب. الإعلانات على الانترنت المشروعة توفر أرضية صلبة لنشر البرامج الضارة على القراصنة ومجرمي الإنترنت بسبب بذل جهد كبير هو موضع لها من أجل جذب المستخدمين وبيع أو الإعلان عن المنتج. لأنه يمكن إدراجها في محتوى الإعلان رفيعة المستوى والمواقع ذات السمعة الطيبة واستخدام شبكات الإعلان المشروعة، لأنها توفر فرصة ممتازة المتسللين لحقن / تنفيذ حمولتها الخبيثة.
يوتيوب كيف تم استخدامها؟
على ما يبدو اتخذت المتسللين إلى موقع يوتيوب لأنه ينتمي لعملاق البحث جوجل، ويوفر لهم فرصة ممتازة لنشر البرمجيات الخبيثة الخاصة بهم.
من أجل جعل نشاطهم تبدو مشروعة، واستخدم المهاجمون المعلومات DNS معدلة من موقع الحكومة البولندية. إلا أن المهاجمين لم بخرق الموقع الفعلي؛ بدلا من ذلك أنهم كانوا قادرين على تغيير المعلومات DNS بإضافة النطاقات الفرعية التي تؤدي إلى أجهزتهم الخاصة. تريند مايكرو غير الواضح لكيفية حققت المتسللين هذا.
وجدت تريند مايكرو إلى أن حركة المرور malvertising مرت ملقمين إعادة توجيه (الموجود في هولندا) قبل أن ينتهي في الملقم الخبيثة، وتقع في الولايات المتحدة.
لاحظت تريند مايكرو التي تستغل عدة تستخدم في يوتيوب هجوم malvertising كان البرتقال الحلو استغلال عدة. ومن المعروف البرتقال الحلو لاستخدام أربع نقاط الضعف، وهي:
CVE-2013-2460 - جافا
. CVE-2013-2551 - إنترنت إكسبلورر
CVE-2014-0515 - فلاش
CVE-2014-0322 - إنترنت إكسبلورر
. CVE-2013-2551 - إنترنت إكسبلورر
CVE-2014-0515 - فلاش
CVE-2014-0322 - إنترنت إكسبلورر
تريند مايكرو وجد أيضا أن يستخدم هذا الإصدار معينة من البرتقال الحلو نقاط الضعف في متصفح مايكروسوفت إنترنت إكسبلورر لنشر البرمجيات الخبيثة على طول مع الإصدارات القديمة FO فلاش وجافا. لاحظوا أيضا أن URL من الحمولة الفعلية يتغير باستمرار، ولكنها جميعا تستخدم النطاقات الفرعية على نفس الموقع البولندي المذكورة أعلاه. كذلك، فإن سلوك هذه الحمولات متطابقة.
وجدت تريند مايكرو التجزئة التالية بأنها كجزء من هذا الهجوم:
09BD2F32048273BD4A5B383824B9C3364B3F2575
0AEAD03C6956C4B0182A9AC079CA263CD851B122
1D35B49D92A6E41703F3A3011CA60BCEFB0F1025
32D104272EE93F55DFFD5A872FFA6099A3FBE4AA
395B603BAD6AFACA226A215F10A446110B4A2A9D
6D49793FE9EED12BD1FAA4CB7CBB81EEDA0F74B6
738C81B1F04C7BC59AD2AE3C9E09E305AE4FEE2D
A1A5F8A789B19BE848B0F2A00AE1D0ECB35DCDB0
A7F3217EC1998393CBCF2ED582503A1CE4777359
C75C0942F7C5620932D1DE66A1CE60B7AB681C7F
E61F76F96A60225BD9AF3AC2E207EA340302B523
FF3C497770EB1ACB6295147358F199927C76AF21
وحمولات النهائية لهذا الهجوم هي المتغيرات من عائلة البرمجيات الخبيثة KOVTER، التي تم الكشف عن TROJ_KOVTER.SM . وتعرف هذه الأسرة خاصة للاستخدام في مختلف الهجمات انتزاع الفدية، على الرغم من أنها تفتقر إلى التشفير من هجمات أكثر تطورا مثل Cryptolocker. المواقع التي يصل TROJ_KOVTER.SM من أجل عرض رسائل تحذير وهمية لم يعد يمكن الوصول إليها.
مايكروسوفت من جانبها قد قيمت بالفعل من هشاشة قال أعلاه في IE وصدر تصحيحا لإصلاح نفسها مايو 2013. أولئك المستخدمين الذين قمنا بتحديث IE، جافا، وأدوبي هم في مأمن من هذا الهجوم.النسخة القديمة يمكنك استخدام أكثر عرضة كنت ليستغل كما لا يزال يجري استخدامها من قبل
0 التعليقات