マルウェア専門家のジェローム・セグラ氏は、オーストラリアで最も人気のある分類広告サイト「Gumtree.com.au」が、月間数百万人の訪問者の一部に世界で最も高性能なエクスプロイトキットを提供していたと述べている。
このサイトはオーストラリアで12番目に人気のあるウェブサイトで、先月は約4,780万回の閲覧数を記録しました。親サイトのeBay Australiaは7,460万回の閲覧数を記録しました。
セグラ氏によると、攻撃者はシドニーの法律事務所をハッキングし、エクスプロイトのインフラをホストするための合法的なサブドメインを作成したという。
そこから彼らは、正当な広告と悪質な広告を切り替えて、広告市場のベンダーを混乱させました。
「悪質な広告主は、単に企業のロゴとウェブサイトのテキストを盗用して、典型的な広告バナーのように見えるものを作成しただけだ」とセグラ氏は言う。
「その後、彼らは広告ネットワークに近づき、自分たちが虐待した被害者を装って広告を出したいふりをしました。
「同じ広告バナーのクリーンなバージョンと悪意のあるバージョンを交互に使用することで、これらの詐欺師は広告業界を欺き、密かに攻撃を実行できるのです。」
サンドボックスやネットワーク パケット キャプチャなどのセキュリティ ツールが検出されると、攻撃は実行されず、検出とそれに続く削除の試みを遅らせることが目的です。
セグラ氏は広告代理店のAppNexusに通報し、同社は数分後に反応して攻撃を終了した。
Gumtree.com.au における攻撃フロー。画像: Segura。
何人の訪問者が感染したか、感染した人々にどのようなマルウェアが投下されたかは不明です。
最も危険にさらされるユーザーは通常、Internet Explorer、Adobe Flash、Java などのセキュリティが常に低いコードをパッチ適用されていないマシンで実行しているユーザーです。
動的エクスプロイト キット市場で最も有能で人気のある Angler の被害に遭ったユーザーは、ランサムウェアやバンキング型トロイの木馬などのマルウェアに感染する可能性があります。
マルバタイジングは、人気のある Web サイトの評判を損ない続け、訪問者に広告やスクリプト ブロッカーを使用するよう促しています。
この攻撃がこれほど成功しているのは、世界的なオンライン広告構造の弱点を突いているからです。この構造では、ハイペースで利益率が低いため、複雑な購入者とコンテンツの整合性チェックを行う余地がほとんどありません。®
