Hlavní navigace

Postřehy z bezpečnosti: Malvertising kampaň na AdSense

Pavel Bašta 19. 1. 2015

Dnes se trochu více podíváme na malvertising kampaně, především pak na tu, trápící webové administrátory začátkem ledna a zneužívající službu AdSense. Dále si představíme nástroj Lizard Stresser zneužívající SoHo routery a přiblížíme si události, které jsou internetovou ozvěnou teroristických činů v Paříži.

Od poloviny prosince běžela v rámci služby AdSense provozované společností Google další malvertising kampaň. Tyto útoky se objevují čím dál častěji, proto nebude na škodu se u jejich principu zastavit. Malwertising, ze slov „malicious advertisiment“ kampaně, jsou kampaně, při kterých se zneužívají legitimní online reklamní sítě k šíření malware. Samozřejmě asi nejvíce nepříjemná je skutečnost, že tímto způsobem se může malware šířit i prostřednictvím navštěvovaných stránek, kterým uživatelé důvěřují. Stalo se to stránkám Yahoo, AOL, match.com, java.com a jak tento útok může být nepříjemný, to zažily již i některé stránky v ČR (info na konci odkazovaného článku), i když tato informace nebyla oficiálně potvrzena.

Poslední takováto kampaň vygradovala ke konci předchozího týdne a účastníci při ní byli automaticky přesměrováváni ze stránky s nebezpečnou reklamou na weby napodobující stránky známých seriózních magazínů, například na stránky magazínu Forbes. 

Falešné stránky Forbes na doméně lemode-mgz.com

Tam jim pak byly nabízeny různé „zázračné“ přípravky na ochranu pleti, zvýšení IQ či hubnutí. Zpráva už bohužel nezmiňuje, zda samotné stránky šířily i nějaký malware. Podle nejpravděpodobnějšího scénáře útočníci získali přístup ke dvěma AdWords účtům, kde následně modifikovali legitimní reklamy tak, aby při pouhém zobrazení přesměrovávali návštěvníky na zmíněné podvodné stránky. Je však také možné, že si útočníci založili nové účty a pouze využili ke krytí legitimní stránky.

Zajímavé je také to, že společnost Google vyzvala provozovatele stránek, na nichž se podvodné reklamy zobrazovaly, aby na svých účtech tyto podvodné reklamy zablokovali. Identifikovat a zablokovat tyto problematické reklamy však nebylo pro správce nijak jednoduché, protože AdSense dashboard byl postižen stejným problémem jako samotné stránky a přesměrovával i samotné správce. Google totiž v části „review center“ zobrazuje reálné náhledy bannerů, takže když správci otevřeli tuto stránku, aby mohli nežádoucí stránku zablokovat, byli okamžitě přesměrováni. To znamená, že správci stránek jsou vystaveni všem skriptům v bannerech, pokud na ně nahlíží přes Ad Review Center. Útočníci se tedy mohou pokusit o útoky jako je XSS či CSRF ve chvíli, kdy jsou správci přihlášeni ke svým Google účtům.

Naše postřehy

Lizard Stresser je nástroj, který si může kdokoliv pronajmout k útokům DDoS a který je nabízen skupinou Lizard. Ta stála například za vyřazením herních sítí Xbox a Playstation během loňských Vánoc. Lizard Stresser zneužívá k útokům tisíce špatně zabezpečených SoHo routerů. Využívá routery s výchozími přihlašovacími údaji, které malware následně promění v armádu botů kontrolovaných právě nástrojem Lizard Stresser Tyto boty se také „ve volných chvílích“ věnují dalšímu skenování sítí a hledání dalších napadnutelných routerů. I když obvykle nemám rád předpovídání ve stylu „jaké výzvy přinese rok 201X“, v tomto případě si dovolím hádat, že stejně jako v uplynulém roce bude téma domácích routerů a jejich zabezpečení žhavým i v roce 2015.

Se skupinou Lizard souvisí i další dvě zprávy. Údajně byl zadržen už druhý člen skupinytaké byl hacknut web, který sloužil právě k řízení výše zmiňovaného nástroje. Při té příležitosti se ukázalo, že jména a hesla „zákazníků“ využívajících služeb nástroje Lizard Stresser byla v databázi ukládána v plaintextu. Mimochodem, ze 14 tisíc registrovaných uživatelů bylo, slovy klasiky, prý jen pár stovek platících.

Smutné události ve Francii mají své dopady i v Internetu. Jedním z nich je napadení stránek oblíbeného editoru Notepad++ džihádistickou skupinou, a to jako odveta za vydání speciální edice editoru nazvané “Je suis Charlie”. Další událostí je vyhlášení operace „Op Charlie Hebdo“ ze strany Anonymous. Z druhé strany pak na tisíce stránek ve Francii útočí skupiny United Islamic Cyber Force, Fallaga Team a Middle East Cyber Team (MECA) v rámci operace OpFrance. A aby to bylo kompletní, počítačoví zločinci zneužívají hashtagu #JeSuisCharlie k šíření malware DarkComet. Ještě dodám, že remote access trojan DarkComet je původně dílo francouzského hackera. Zde se kruh uzavírá, což dle mého názoru otvírá prostor pro ty nejdivočejší konspirační teorie. Mně osobně by se líbila ta o propojení francouzských tajných služeb s počítačovým zločinem :-)

Pracovníci Dell SecureWorks Counter Threat Unit objevili malware, který obchází přihlašování na Active Directory systémech používajících k ověření pouze heslo. Tento malware, který umožňuje útočníkům přihlásit se libovolným heslem jako libovolný uživatel systému, byl nazván „Skeleton Key“. Analytici CTU našli malware v sítích klientů, kteří pro přihlašování k VPN či webmailu používali pouze jednofaktorovou autentizaci.

„World War III has begun.“ Tato údajná věta papeže Františka se spolu s dalšími falešnými zprávami objevila na hacknutých twiterových účtech New York Post a United Press International.

Jako vždy přidáme i nějaké pozitivní zprávy. Peerio je nový nástroj pro výměnu zpráv a sdílení souborů, vše je pak zabezpečeno End-to-End šifrováním. Momentálně je dostupný pro Windows, Mac OS X a Chrome. Samotné šifrované zprávy a soubory se budou vyměňovat přes servery služby Peerio a ve verzi zdarma na nich budou mít uživatelé k dispozici 1.2 GB prostoru.

Tým CSIRT.CZ přeložil do českého jazyka dokument OWASP Top 10. Jedná se o seznam deseti nejzávažnějších zranitelností webových aplikací. Dokument je strukturovaný tak, aby zájemce o problematiku pochopil princip samotné zranitelnosti, způsoby jejího zneužití a samozřejmě také způsob, jak útoku předejít.

Ve zkratce

0-day zranitelnost v Corel software
Co potřebujete vědět o ukončení podpory Windows7
Bezdrátové zaznamenávání stisknutých kláves
Kritické zranitelnosti GE MultiLink Switchů
Jak to bude se záplatou WebView Exploitu?
Chyba instagramu umožňovala zobrazení soukromých fotek

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

22. 1. 2015 10:56

Tomu nerozumím, ta reklama na MLM a podvodné farmaceutické přípravky vám vadí, protože není cílená a podporuje šedou ekonomiku anebo vás tato reklama přesměrovává na stránky s malwarem?

21. 1. 2015 16:21

Karel (neregistrovaný)

Vzhledem k tomu, že sám provozovatel upozorňuje na podvodné reklamy s tím, že mu je dodává reklamní systém a oni sami s tím nemohou dělat nic jiného, než ty reklamy vůbec nebrat a zavřít krám, tak spíše věřím, že je za tím někdo jiný.

Ostatně česká reklama je kapitola sama pro sebe. I na značně seriozních serverech se mi stane, že se tam objeví reklama "Už se konečně vys*r na práci a udělejte to jako já". Po nahlášení reklamy pak přijde omluva provozovatele, že dodavatel reklamy pro IP adresy z…

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?