Postřehy z bezpečnosti: Malvertising kampaň na AdSense

19. 1. 2015
Doba čtení: 5 minut

Sdílet

Dnes se trochu více podíváme na malvertising kampaně, především pak na tu, trápící webové administrátory začátkem ledna a zneužívající službu AdSense. Dále si představíme nástroj Lizard Stresser zneužívající SoHo routery a přiblížíme si události, které jsou internetovou ozvěnou teroristických činů v Paříži.

Od poloviny prosince běžela v rámci služby AdSense provozované společností Google další malvertising kampaň. Tyto útoky se objevují čím dál častěji, proto nebude na škodu se u jejich principu zastavit. Malwertising, ze slov „malicious advertisiment“ kampaně, jsou kampaně, při kterých se zneužívají legitimní online reklamní sítě k šíření malware. Samozřejmě asi nejvíce nepříjemná je skutečnost, že tímto způsobem se může malware šířit i prostřednictvím navštěvovaných stránek, kterým uživatelé důvěřují. Stalo se to stránkám Yahoo, AOL, match.com, java.com a jak tento útok může být nepříjemný, to zažily již i některé stránky v ČR (info na konci odkazovaného článku), i když tato informace nebyla oficiálně potvrzena.

Poslední takováto kampaň vygradovala ke konci předchozího týdne a účastníci při ní byli automaticky přesměrováváni ze stránky s nebezpečnou reklamou na weby napodobující stránky známých seriózních magazínů, například na stránky magazínu Forbes. 

Falešné stránky Forbes na doméně lemode-mgz.com

Tam jim pak byly nabízeny různé „zázračné“ přípravky na ochranu pleti, zvýšení IQ či hubnutí. Zpráva už bohužel nezmiňuje, zda samotné stránky šířily i nějaký malware. Podle nejpravděpodobnějšího scénáře útočníci získali přístup ke dvěma AdWords účtům, kde následně modifikovali legitimní reklamy tak, aby při pouhém zobrazení přesměrovávali návštěvníky na zmíněné podvodné stránky. Je však také možné, že si útočníci založili nové účty a pouze využili ke krytí legitimní stránky.

Zajímavé je také to, že společnost Google vyzvala provozovatele stránek, na nichž se podvodné reklamy zobrazovaly, aby na svých účtech tyto podvodné reklamy zablokovali. Identifikovat a zablokovat tyto problematické reklamy však nebylo pro správce nijak jednoduché, protože AdSense dashboard byl postižen stejným problémem jako samotné stránky a přesměrovával i samotné správce. Google totiž v části „review center“ zobrazuje reálné náhledy bannerů, takže když správci otevřeli tuto stránku, aby mohli nežádoucí stránku zablokovat, byli okamžitě přesměrováni. To znamená, že správci stránek jsou vystaveni všem skriptům v bannerech, pokud na ně nahlíží přes Ad Review Center. Útočníci se tedy mohou pokusit o útoky jako je XSS či CSRF ve chvíli, kdy jsou správci přihlášeni ke svým Google účtům.

Naše postřehy

Lizard Stresser je nástroj, který si může kdokoliv pronajmout k útokům DDoS a který je nabízen skupinou Lizard. Ta stála například za vyřazením herních sítí Xbox a Playstation během loňských Vánoc. Lizard Stresser zneužívá k útokům tisíce špatně zabezpečených SoHo routerů. Využívá routery s výchozími přihlašovacími údaji, které malware následně promění v armádu botů kontrolovaných právě nástrojem Lizard Stresser Tyto boty se také „ve volných chvílích“ věnují dalšímu skenování sítí a hledání dalších napadnutelných routerů. I když obvykle nemám rád předpovídání ve stylu „jaké výzvy přinese rok 201X“, v tomto případě si dovolím hádat, že stejně jako v uplynulém roce bude téma domácích routerů a jejich zabezpečení žhavým i v roce 2015.

Se skupinou Lizard souvisí i další dvě zprávy. Údajně byl zadržen už druhý člen skupinytaké byl hacknut web, který sloužil právě k řízení výše zmiňovaného nástroje. Při té příležitosti se ukázalo, že jména a hesla „zákazníků“ využívajících služeb nástroje Lizard Stresser byla v databázi ukládána v plaintextu. Mimochodem, ze 14 tisíc registrovaných uživatelů bylo, slovy klasiky, prý jen pár stovek platících.

Smutné události ve Francii mají své dopady i v Internetu. Jedním z nich je napadení stránek oblíbeného editoru Notepad++ džihádistickou skupinou, a to jako odveta za vydání speciální edice editoru nazvané “Je suis Charlie”. Další událostí je vyhlášení operace „Op Charlie Hebdo“ ze strany Anonymous. Z druhé strany pak na tisíce stránek ve Francii útočí skupiny United Islamic Cyber Force, Fallaga Team a Middle East Cyber Team (MECA) v rámci operace OpFrance. A aby to bylo kompletní, počítačoví zločinci zneužívají hashtagu #JeSuisCharlie k šíření malware DarkComet. Ještě dodám, že remote access trojan DarkComet je původně dílo francouzského hackera. Zde se kruh uzavírá, což dle mého názoru otvírá prostor pro ty nejdivočejší konspirační teorie. Mně osobně by se líbila ta o propojení francouzských tajných služeb s počítačovým zločinem :-)

Pracovníci Dell SecureWorks Counter Threat Unit objevili malware, který obchází přihlašování na Active Directory systémech používajících k ověření pouze heslo. Tento malware, který umožňuje útočníkům přihlásit se libovolným heslem jako libovolný uživatel systému, byl nazván „Skeleton Key“. Analytici CTU našli malware v sítích klientů, kteří pro přihlašování k VPN či webmailu používali pouze jednofaktorovou autentizaci.

„World War III has begun.“ Tato údajná věta papeže Františka se spolu s dalšími falešnými zprávami objevila na hacknutých twiterových účtech New York Post a United Press International.

Jako vždy přidáme i nějaké pozitivní zprávy. Peerio je nový nástroj pro výměnu zpráv a sdílení souborů, vše je pak zabezpečeno End-to-End šifrováním. Momentálně je dostupný pro Windows, Mac OS X a Chrome. Samotné šifrované zprávy a soubory se budou vyměňovat přes servery služby Peerio a ve verzi zdarma na nich budou mít uživatelé k dispozici 1.2 GB prostoru.

Tým CSIRT.CZ přeložil do českého jazyka dokument OWASP Top 10. Jedná se o seznam deseti nejzávažnějších zranitelností webových aplikací. Dokument je strukturovaný tak, aby zájemce o problematiku pochopil princip samotné zranitelnosti, způsoby jejího zneužití a samozřejmě také způsob, jak útoku předejít.

bitcoin školení listopad 24

Ve zkratce

0-day zranitelnost v Corel software
Co potřebujete vědět o ukončení podpory Windows7
Bezdrátové zaznamenávání stisknutých kláves
Kritické zranitelnosti GE MultiLink Switchů
Jak to bude se záplatou WebView Exploitu?
Chyba instagramu umožňovala zobrazení soukromých fotek

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.