オブザーバーは、突然 6 月手段に悪用キット活動の減少の脅威からドロップ malvertising ドライブ攻撃を締結したくなるかもしれません。 しかし、間違いである、我々 の我々 の研究のブログの詳細、として。
まで行く静かにおやすみ、malvertising キャンペーンは、適応し、進化しています。 キャンペーン私たちと呼ばれるところ AdGholas 1 年以上走り、我々 は今月の広告ネットワークを警告後にシャット ダウンされるまで 1 日あたりとして多く 100 万の犠牲者を引いた。
AdGholas が証明するよう攻撃者はステルス性を最新の防御的な進歩に対して効果的に技術を進化していきます。
エクスプロイト キット (EKs) は、いわゆる「ドライブバイ」ダウンロードにユーザーをターゲットに脅威俳優によって使用される主要なツールです。 Web サーファーは、脆弱なコンピューターを使用して侵害されたサイトに移動と、EK はすぐに様々 な彼らの知識なしマルウェアをダウンロードできます。 Malvertising、オンライン広告のマルウェアおよび侵害された web サイトへのリンクを埋め込むことの練習は、キットを利用するトラフィックの最大のドライバーの 1 つです。 闇市場の大規模な生態系は、実践を支援します。
EK のトラフィックは、今年の第 2 四半期で険しく落ちてください。 変更が malvertisers を残すだろうか疑問に思いました。
当社のアナリストとトレンド マイクロの共同研究者による最近の研究は、その malvertising は健在を示しています。 我々 は、このブログの記事で詳細 malvertising 俳優はさらにもっと洗練された、革新的な成長しています。 AdGholas には、日によって数千のユーザーが感染しています。
Malvertising は、正当な広告ネットワークと web のプロパティの広い範囲にわたって広告を表示するためしばしば怪しげな紹介のネットワークを活用します。
他の要因の間で AdGholas は慎重にターゲットを絞った悪意のある広告、被害者の PC 言語設定、タイム ゾーンに基づいて彼らの印象をフィルタ リングともだったかどうか PC OEM ブランドします。 後者は、「平均的なユーザー」が標的にされるだろう可能性が高い。
図 1: OEM ブランドの Pc をターゲット
AdGholas は 2015年からこれらの技術と広告/紹介ネットワークを使用しています。 正確なターゲットに加えて検出 (図 2) を回避するために慎重に複製されたウェブサイトを使用します。
検出を避けるために複製されたウェブサイトを使用して図 2: AdGholas キャンペーン
AdGholas は、その継続的なキャンペーン全体の複数のドメインを使用しています。 大きな物語が業務の規模。 Proofpoint の研究者は、一日あたり 1 に 500 万「高品質」の紹介を 20 以上の異なる広告代理店と ad exchange プラットフォームを構成する、紹介ネットワークに供給を推定します。 高品質紹介と関連性とターゲティングのための広告をクリックする可能性が誰かは、- と脆弱な PC を持っている可能性が高い。
さらに、AdGholas は、ステガノグラフィ (トレンド マイクロで私達の同僚の詳細を分析) と呼ばれる技術を使用しました。
ステガノグラフィは、テキスト、HTML、伝統的な手段による検出を回避するために、画像内のコードを非表示に。 練習では、暗号で合法的な用途があります。 しかし、この場合、それは一見良性の JavaScript コード内で検出されたマルウェアの送信に使われました。
私たちの知る限り、すべての AdGholas キャンペーンが広告業界の代表者が我々 に連絡の迅速な仕事のおかげで、今中断されます。 AdGholas や VirtualDonna など他の知名度の高い俳優の活動の相当な弾力性を示しています。このような状況を監視していきます。
示唆しているドライブによってマルウェア シーンで収縮が最近エクスプロイト キット風景の変化、AdGholas の脅威は減少していないことを示しています。 AdGholas は、攻撃者が進化し続ける鮮やかなリマインダーです。 彼らのますます洗練されたテクニックは、ステルスと守備の最新の進歩に直面しても有効のままにそれらを有効にします。
この手の込んだスキームの詳細についてを読むに脅威洞察力のポストとトレンド マイクロのブログをチェックしてください。