image

Advertenties gebruikt om Windows en Mac aan te vallen

dinsdag 9 september 2014, 13:33 door Redactie, 8 reacties

Het gebruik van kwaadaardige advertenties om internetgebruikers met malware te infecteren wordt al geruime tijd toegepast, maar het zijn niet alleen Windowsgebruikers die moeten oppassen. Ook Mac-gebruikers lopen namelijk risico om te worden aangevallen, zo stellen onderzoekers van Cisco.

Ze ontdekten een advertentienetwerk dat ze "Kyle & Stan" noemen en erin geslaagd is om kwaadaardige advertenties op amazon.com, ads.yahoo.com, www.winrar.com en youtube.com te krijgen. De advertenties sturen bezoekers door naar een andere website, die de gebruiker aan de hand van de user agent vervolgens doorstuurt. Afhankelijk of de gebruiker Windows of Mac gebruikt wordt hij naar een andere pagina doorgestuurd. Deze pagina downloadt automatisch de malware.

Malware

De malware bestaat uit legitieme software, zoals een mediaspeler of een programma om de computer te versnellen, aangevuld met kwaadaardige code. Het is echter aan de gebruiker om de download ook te openen en installeren. In tegenstelling tot veel andere gevallen van kwaadaardige advertenties worden er in dit geval geen drive-by downloads gebruikt. Bij een drive-by download maken aanvallers gebruik van bekende lekken in de browser of plug-ins die niet door de gebruiker zijn gepatcht.

Het gebruik van social engineering bij besmette advertenties komt veel minder vaak voor, maar is nog steeds effectief. "Het indrukwekkende is dat we deze techniek niet alleen op Windows zien werken, maar ook op de Mac", aldus de onderzoekers. De malware die via de downloads wordt verspreid bestaat uit spyware, adware en browser hijackers. "Het is niet vergezocht dat mogelijk ook andere malware wordt gebruikt", aldus de analyse.

Reacties (8)
09-09-2014, 14:01 door Vandy
Hoeveel meer argumenten zijn er nog voor nodig om een goede adblocker te draaien?
09-09-2014, 14:47 door [Account Verwijderd] - Bijgewerkt: 09-09-2014, 14:50
[Verwijderd]
09-09-2014, 14:59 door Anoniem
The impressive thing is that we are seeing this technique not only work for Windows, but for Mac operating systems alike.

Zeer indrukwekkend en nog nooit vertoond (voor Mac's) * :

- een redirect op basis van een user agentstring
- een auto start download script op een webpagina
- rotzooi in een bestaande app gefriemeld
- volledig vertrouwen op social engineering tactieken in de hoop dat de (Mac) user zelf een programma installeert en daarvoor met gebruik van admin wachtwoorden toestemming toe geeft.

Het enige unieke dat ik hier kan ontdekken is
- dat de aangeboden apps een unieke hash hebben.

Cisco maakt graag reclame voor de eigen producten.
Oplossingen liggen voor de hand en kunnen simpel zijn zonder producten van cisco

Simpele oplossing
- Adblocker tegen ads en tegen ads voor slechte apps
- Auto open optie van een gedownload file uitzetten

Medium simple oplossing
- NoScript die waarschuwt bij redirects, iframes kan blokkeren en meer.

Mogelijke oplossingen gevorderden
- Een andere useragent string gebruiken met een ander Os opgave dan je eigen systeem Os, minder zinnige optie wellicht in geval van Internet explorer gebruik?
- Downloadsmap op slot zetten met permissiebeheer, geen schrijfrechten.
In geval van een gewenste download een andere browser gebruiken, of per keer een andere download folder toewijzen in geval van een download.
Iets minder praktische oplossing als je de hele dag zit te downloaden, meeste mensen doen dat echter niet.
Een extra klikje of even openen van een andere browser voor een download met een copy paste van de link voor de download is echt heel weinig moeite en het scheelt je ongewenste rotzooi in je downloads folder.

* Ironiemodus
09-09-2014, 15:21 door Anoniem
"Hoeveel meer argumenten zijn er nog voor nodig om een goede adblocker te draaien?"

Bij dit specifieke voorbeeld ? Niet erg relevant, zolang je je gezond verstand gebruikt bij het installeren van software. Waarom zou je in hemelsnaam een media player gaan installeren van een onbetrouwbare website, ongeacht of dat via een popup gaat of niet ? Zou jij deze software installeren, indien je zonder adblocker de advertentie zou zien ? ;)
09-09-2014, 15:53 door Anoniem
Een leuke tip is een UserAgent switcher te gebruiken. Ik switch regelmatig met mijn UA, zodat een eventuele aanval alweer moeilijker wordt. My 2cts...
09-09-2014, 16:51 door Anoniem
Door Anoniem: "Hoeveel meer argumenten zijn er nog voor nodig om een goede adblocker te draaien?"

Door 15:21 door Anoniem: Bij dit specifieke voorbeeld ? Niet erg relevant, zolang je je gezond verstand gebruikt...

Begin eerst eens het wel heel relevante artikel zelf te lezen.
De opmerking over adblocker gebruik lijkt namelijk heel relevant.

http://blogs.cisco.com/security/kyle-and-stan/
Attack in a Nutshell

The attack has a lot of variations, but always follows these steps:

1. You visit a website with the malicious advertisement
2. You get redirected to a different website that redirects you based on user agent. We observed that Windows and Mac users get redirected to different malware in order to infect both operating systems
3. The final page starts the download of a malicious file
Plaatje
http://blogs.cisco.com/wp-content/uploads/img_Flow-550x556.png

De argumenten die je verder geeft komen pas op de tweede plaats en zijn daarmee zelf iets minder relevant, of pas later relevant omdat :

Eerst probeer je een ongewilde download te voorkomen, daarna neem je een gezond besluit rondom een wel ontvangen maar niet gewild gedownload file.

Het artikel stelt dat deze aanpak ook voor andere soorten malware zou kunnen gelden. Malware hoeft namelijk geen app te zijn.
Dat zou dan kunnen betekenen dat de aanpak hetzelfde is maar de files verschillen; dat je niet een app maar ook een malware pdf een afbeelding in je downloads map zou hebben kunnen staan welke op enig moment ooit uit nieuwsgierige verbazing zo-perongeluk-oeps-te-laat-is aangeklikt met alle infectie gevolgen van dien.
09-09-2014, 22:15 door Anoniem
@Redactie: misschien is het eens mooi om uit te leggen hoe jullie zeker stellen dat de reclame op jullie site niet op deze manier geraakt kan worden? Neem tenminste aan dat jullie extra gekeken hebben hiernaar? Lijkt me de moeite waard voor iedereen om te lezen.
10-09-2014, 06:14 door Anoniem
Het wordt tijd dat iedere zichzelf respecterende site alle reclame zelf gaat doen zodat bezoekers niet worden besmet door die onbetrouwbare rommel van adservers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.