Malwarebytes: вредоносная реклама сеет инфостилеров на радость вымогателям

Malwarebytes: вредоносная реклама сеет инфостилеров на радость вымогателям

Malwarebytes: вредоносная реклама сеет инфостилеров на радость вымогателям

С конца ноября Malwarebytes наблюдает новый всплеск malvertising-активности, которая к февралю вышла на пик. В I квартале эксперты зафиксировали более 800 атак, спровоцированных вредоносной рекламой, и подчеркивают, что на самом деле их намного больше.

Ранее malvertising зачастую использовали операторы эксплойт-паков. Однако лет пять назад такие инструменты начали выходить из моды; сейчас целевые зловреды распространяются в основном через спам и drive-by-загрузки под видом легитимных приложений. А для привлечения потенциальных жертв на вредоносные сайты иногда используются специально созданные рекламные баннеры.

Риск получить зловреда вместо полезного софта, по данным аналитиков, наиболее высок при поиске по таким ключам:

 

Исследование также показало, что вредоносная реклама наиболее часто используется для засева инфостилеров — Aurora, Vidar, Raccoon, RedLine. В список, составленный экспертами по результатам наблюдений, входят также троянские загрузчики BatLoader и IcedID (в настоящее время применяется в основном для доставки других зловредов).

Учетные данные, украденные с помощью инфостилеров, обычно выставляются на продажу. Лоты, обеспечивающие готовый доступ к корпоративным сетям, очень привлекательны для операторов шифровальщиков.

Некоторые вымогатели предпочитают обходиться без такого посредничества и сами используют malvertising для проведения атак. Так, владельцы Royal продвигают сайты, с которых якобы можно скачать легитимный установщик TeamViewer или иного популярного софта. На самом деле под этой маской скрывается BatLoader, который загружает маячок Cobalt Strike, открывающий доступ к целевой сети.

 

Использование популярных брендов в malvertising-кампаниях способно ввести в заблуждение рядового пользователя, а скрытый в баннере вредоносный редирект обнаружить и вовсе непросто. Организациям же для зашиты от подобной угрозы эксперты советуют не налегать на отлов злоупотреблений брендом, а использовать также инструменты предотвращения атак:

  • программы управления уязвимостями и патчингом;
  • приложения для веб-защиты, способные отследить и пресечь загрузки с вредоносного сервера;
  • блокировщики рекламы.

В России обкатывают новый DDoS-ботнет мощностью свыше 2,5 Тбит/с

Российский интернет столкнулся не с очередной волной DDoS, а с генеральной репетицией чего-то куда более серьезного. Специалисты StormWall сообщили о серии необычных атак, мощность одной из которых достигла 2,56 Тбит/с при интенсивности 1 млрд пакетов в секунду.

По мнению экспертов, за атаками стоят не случайные хакеры, а хорошо подготовленная команда, которая тестирует новый ботнет или инструменты для будущих масштабных операций.

Главная особенность кампании — атакующие не ограничиваются классическим UDP-флудом. Они одновременно имитируют легитимный пользовательский трафик, создают полноценные TCP-соединения и на лету меняют параметры пакетов, пытаясь подобрать комбинации, способные обойти защиту.

В StormWall отмечают, что злоумышленники быстро адаптируются к действиям защитников. После того как специалисты заблокировали их мониторинговые проверки, атакующие оперативно изменили тактику и продолжили атаки уже по новым сценариям.

Еще одна странность — отсутствие привычной цели. Хакеры не требуют выкуп и не заявляют политических мотивов. Под удар попадают самые разные организации: игровые проекты, хостинг-провайдеры, телеком-операторы и корпоративные сети.

По словам CEO и сооснователя StormWall Рамиля Хантимирова, происходящее больше напоминает стресс-тестирование инфраструктуры перед более серьезной кампанией.

Заодно изменилась и география ботнета. Если раньше основная активность фиксировалась из Бразилии и Индии, то теперь источники трафика обнаружены в России, США, Германии, Нидерландах, Ираке, Азербайджане, Казахстане, Мексике и ряде других стран. По оценкам аналитиков, ботнет может объединять самые разные устройства — от IoT-камер до серверов и сетевого оборудования.

В StormWall предупреждают, что нынешняя волна может быть лишь началом. Если злоумышленники доведут технологию имитации легитимного трафика до совершенства, отличить DDoS-атаку от обычных пользователей станет значительно сложнее, а эффективность традиционных методов фильтрации заметно снизится.

RSS: Новости на портале Anti-Malware.ru