Największa sieć malvertisingu odkryta przypadkiem

Pierwsze działania powodujące rozsiewanie złośliwego oprogramowania za pomocą reklam dało się zauważyć na przełomie roku 2007 i 2008. Wtedy sieci zarządzające tym rodzajem dostarczania wirusów do osób korzystających z komputerów były, patrząc z dzisiejszej perspektywy, proste, ale mimo to efektywne. Dziś malvertising został wyparty przez bardziej zaawansowane techniki dostarczania wirusa na komputery użytkowników jak phishing czy fałszywe strony.

Jednak to co odkryła firma Proofpoint i opisała zaledwie kilka dni temu na swoim firmowym blogu wykracza poza wyobraźnie nawet ekspertów, którzy dokonywali analizy całej sieci AdGholas. Co więcej mimo ponad roku, który zajął firmie na analizę całej infrastruktury wraz z pomocą ekspertów z Trend Micro pozostawała ona przez ten cały okres aż do dziś niezauważona.

Patrząc na rysunek poglądowy sieci, jaki stworzył Proofpoint trudno odnieść wrażenie, że była to mała sieć prowadząca działania na niewielką skalę. To raczej sieć, której nie powstydziłby się prawdopodobnie nikt z gigantów przemysłu internetowego. Nie tylko mechanizmy ukrywające należały do przemyślanych oraz bardzo dobrze wykonanych, ale także same linijki kodu odpowiadające za jego wstrzykiwanie na komputery nieświadomych użytkowników zostały wykonane przez osoby  posiadające duży zasób wiedzy.

Nie da się tego inaczej wytłumaczyć. Każda z reklam powiązanych z przekierowaniem na stronę zewnętrzną, z reklamą posiadała mechanizmy monitorujące i zbierające dokładne informacje o komputerze ofiary. Po kliknięciu w reklamę przygotowaną przez hakerów badaczom ukazywała się strona, skopiowana z innej legalnie działającej, różnica polegała na zmianie nazwy strony czy domeny, na której ona się znajdowała.

Oczywiście oprócz tego na starannie sklonowanej stronie można było także zarazić się wirusem komputerowym. Oprócz tego, AdGholas sprawdzał czy na komputerze ofiary nie ma zainstalowanego zaawansowanego oprogramowania jak np. narzędzia do tworzenia wirtualnych systemów, czy nawet sprawdzania rozszerzeń niektórych plików. Różnice pomiędzy niektórymi sklonowanymi stronami są czasami niemal nie zauważalne na pierwszy rzut oka, co można zobaczyć w dokładnym tekście przygotowanym przez Proofpoint.

Reklama także sprawdzała, czy komputer oraz przeglądarka ofiary spełniają kilka ważnych dla niej czynników. Chodziło o strefę czasową, język oraz zainstalowane oprogramowanie. Zależnie od tego, strona pokazywała taką a nie inną wersję reklamy. Prawdopodobnie właśnie ten mechanizm pozwolił na ukrywanie się sieci przez ponad rok. Co ciekawe, AdGholas sprawdzał nawet z jakiej wersji systemu korzystają użytkownicy, jeżeli komputer był produkowanym przez takich producentów jak Lenovo, Dell, czy HP czyli rozwiązań zwykle używanych w firmach czy na laptopach z wgranym systemem operacyjnym przez producenta urządzenia to zostawał pomijany.

Z dniem 20 lipca cała sieć przestała być aktywna. Warto przytoczyć liczbę użytkowników całej sieci, jaka była skupiona wokół AdGholas – chodziło bowiem o 1 do 5 mln użytkowników dziennie. W dodatku rozwiązania monitorujące i sprawdzające dokładnie komputery użytkowników pozawalały sieci na przetrwanie tak długo poza kręgiem zainteresowania ekspertów ds. cyberbezpieczeństwa.

Czytaj też: Potrzebna jest współpraca służb, inaczej cybeprzestępcy wygrają