Hekerji uspešno zlorabili sistem spletnega oglaševanja

Dare Hriberšek

31. jul 2018 ob 07:08:15

Raziskovalci varnostnega podjetja Check Point Research so preiskali zanimivo in obsežno kampanjo t. i. malvertisinga - gre za napade na uporabnike s pomočjo oglasov, ki v sebi skrivajo zlobno kodo. Ta se je raztezala od kriptominerjev, ransomwara, keyloggerjev, pa do običajnih trojancev. Na teden so tako uspešno okužili do 40.000 različnih naprav. Še bolj zanimivo je dejstvo, da so napadalci sami plačevali za objavo okuženih oglasov, namreč, z izsiljevanjem in drugimi negativnimi posledicami njihovega početja, so zaslužili več kot dovolj, da so redno oddajali višje ponudbe od drugih oglaševalcev. In kar je najlepše, na ta način so denar v spletnem oglaševalskem sistemu tudi oprali oz. vsaj delno zabrisali sledi za njegovim kriminalnim izvorom.

Veriga se je začela pri kakih 10.000 spletnih straneh, kjer je za vsebino v ozadju skrbel nepokrpan Wordpress, zaradi česar napadalci niso imeli večjih težav pri vdoru vanje s pomočjo oddaljenega izvrševanja kode. Tem stranem so nato "ukradli" spletni promet in ga kot svojega prodali ponudniku oglasnega prostora AdsTerra. Ta ga je nato ponudil v preprodajo štirim posrednikom, konkretno, ExoClicku, AdKernelu, EvoLeadsu in AdventureFeeds, ti pa so ga nato prodali najboljšemu ponudniku oglaševanja. Slednji je bil običajno, kot so razkrili pri Check Point Research, sodelavec nepridipravov oz. kar oni sami.

Problem, ko se je izkazal, je, da oglaševalska omrežja, kot je AdsTerra, očitno niso imela vzpostavljenih sistemov za preverjanje, ki bi vso to sklenjeno verigo razkrili. V resnici je tako preverjanje precej kompleksno, saj enoten oglas ne obstaja. Vsak uporabnik namreč vidi drugačnega, pogojeno s tem, kjer se nahaja, kakšno napravo uporablja in podobno, vse to pa precej oteži vnaprejšnje preverjanje.

Posledica vsega tega je bila, da so se na tisočerih spletnih straneh po vsem svetu, prikazovali okuženi oglasi. Običajno so vsebovali Javascript kodo, ki je poiskala ranljivosti v brskalniku ali njegovih razširitvah ter okužila uporabnike, ki so obiskali zlonamerno povezavo. Ti pa so nato, večinoma nevede, še poskrbeli, da so nepridipravi dobili sveža sredstva, s katerimi so lahko nadaljevali svoje početje.