2年間に渡って行われた非常に洗練されたマルバタイジングキャンペーンにより、 Channel 9、Sky News、MSNなど、英国、オーストラリア、カナダで最も人気のあるニュースサイトの訪問者が感染しました。
これらのニュース サイトの読者は、影響を受けた全体のうちの一部に過ぎません (eBay の英国ポータルも影響を受けたため)。アカウントや電子メールの認証情報を収集し、キーストロークを盗み、Web カメラの映像をキャプチャし、バックドアを開く機能を持つモジュラー型トロイの木馬に感染しました。
ニュース サイトは広告を表示したため、直接的な責任はありません。マルバタイジングが大きな影響力を持つのは、広告ネットワークと、その基盤となる高速かつ低利益率の構造によるものです。
米国のユーザーは、理由は不明ですが無視されました。
セキュリティ企業ESETの研究者らが2014年後半にオランダのユーザーを狙った初期の亜種を発見していたにもかかわらず、現在も継続中の攻撃は静かに成功を収めている。
現在 Proofpoint に所属する著名な研究者 Kafeine 氏は、7 月に発生した大規模なマルバタイジング キャンペーンについて報告しており、AdGholas マルバタイジング キャンペーンでは 1 日あたり 100 万人ものユーザーが巻き込まれたとされています。
マルウェアの速記が明らかに。画像: ESET。
これらの攻撃は、地域特有の策略を用いて英国、オーストラリア、カナダのユーザーを標的にバンキング型トロイの木馬を仕掛けた。
AdGholas は、Microsoft がパッチ適用に時間がかかったクローキングを支援するために、Internet Explorer の低レベルの脆弱性 (CVE-2016-3351) を悪用しました。
最近のパッチが適用されていない Microsoft Internet Explorer および Adobe Flash を使用してさまざまなニュース サイトを閲覧した被害者は、気づかないうちに侵害を受ける可能性があります。
Yahoo!の電子メールサービスのユーザーにも、このテクノロジー大手の広告ネットワークを通じてトロイの木馬を仕込んだ広告が配信された。
他のブラウザ上のものは無視され、パケットキャプチャ、サンドボックス、仮想化ソフトウェアを実行しているものも無視されました。後者のプラットフォームは、ホワイトハットセキュリティ研究者の特徴です。
犯罪者は、悪意のあるコードを広告バナーに織り込むことで、ホワイトハット研究コミュニティの多くの熟練した監視にもかかわらず、ステルス性を維持することができました。
彼らは、悪意がないように見え、実際に機能する、現在も稼働中の Google Chrome 拡張機能を含む、合法的なソフトウェアを作成するまでになりました。
Browser Defence Chromeアプリは正規のようです。画像:The Register
通常のマルバタイジングでは、Google、Yahoo!、その他多数の小規模ネットワークに罠を仕掛けたバナー広告を受け入れさせることに成功しているが、AdGholas キャンペーンでは、個々の広告ピクセルを操作することでトロイの木馬を配布していた。
Malwarebytes のアナリスト Jerome Segura 氏は ESET の研究者とともに、本日最新のキャンペーンの複雑さを明らかにしました。
犯罪者は、広告ネットワークに送信した広告バナーのピクセル内のアルファチャンネルを変更することで、長期間にわたって身を隠していたと彼らは主張している。
これは、大手ニュース サイトに表示されるための弱いセキュリティ チェックを通過し、脆弱な Internet Explorer および Flash がインストールされたマシンでバナーを表示しただけで、トロイの木馬が強制的にインストールされるようになりました。
問題となっている広告。画像: MalwareBytes。
汚染されたピクセル広告には、マルウェア作成者による合法的に動作する 2 つの作品である Browser Defence と BroXu の広告が含まれていました。
広告内のマルコードは、初期偵察のために Internet Explorer のバグ CVE-2016-0162 を悪用し、マシンにペイロードを送り込むために Flash のバグ CVE-2016-4117、CVE-2016-1019、CVE-2015-8651 を悪用しました。
「米国をターゲットにしていないにもかかわらず、最新のAdGholasキャンペーンは再び壮大な規模に達し、多くのトップレベルのパブリッシャーの中でもYahooやMSNなどの最も信頼できるポータルサイトを訪問する無防備なユーザーは、保護されていない場合、マルバタイジングやマルウェアにさらされました」とセグラ氏は言う。
「敵は非常に先進的であり、長期間にわたりレーダーをかいくぐって行動してきたことは疑いの余地がない。」
「投稿時点ではキャンペーンはまだ継続中だが、大手広告ネットワークには通知済みで、今後は関与すべきではない。」
BroXuとBrowser Defenceのサイト。画像:The Register。
セグラ氏は、9月5日にSmartyAdsネットワークを通じてブラウザ防御詐欺に基づく最初の攻撃を発見し、1か月後にそれがYahoo!に移動したことに気づいた。
セグラ氏が実際の住宅用 IP アドレスと監視ツールのない通常のユーザー マシンを使用してマルバタイジング チェーンを「最終的に」再現するまでに 11 月 27 日を要した。
「それまでは、何かが起きているという強い疑念を抱いていたが、ネットワークキャプチャがなければ、断定的な主張をするために必要な決定的な証拠をまったく持っていなかった」と彼は言う。
セグラ氏はマルバタイジング攻撃を確認するとすぐにYahoo!に通知した。
ESET の研究者もほぼ同様のことを明らかにし、不正コードが広告画像内にほぼ完璧に隠されていた速記作業の技術的な複雑さを明らかにしました。®
