Nieuws
image

Grote campagne met besmette advertenties jaar lang actief

vrijdag 29 juli 2016, 10:11 door Redactie, 7 reacties

Een grootschalige campagne die naar schatting 1 tot 5 miljoen mensen per dag aan besmette advertenties blootstelde is een jaar lang actief geweest voordat die eindelijk door advertentiebedrijven werd gestopt. De campagne wordt AdGholas genoemd en wist via meer dan 20 verschillende advertentiebureaus en -platformen besmette advertenties te verspreiden, die vervolgens op allerlei websites werden getoond.

De advertenties stuurden bezoekers ongemerkt door naar pagina's met verschillende exploitkits, die gebruik maakten van bekende kwetsbaarheden in voornamelijk Adobe Flash Player. Internetgebruikers die hun Flash Player niet up-to-date hadden en naar deze exploitkits werden doorgestuurd konden met malware besmet raken. Om detectie te voorkomen gebruikte de bende achter de besmette advertenties verschillende technieken.

Zo werden slachtoffers gekozen op basis van de taalinstellingen van hun computer, tijdszone en zelfs of de computer van een bekende computerfabrikant afkomstig was. De bende zocht hiervoor naar de aanwezigheid van het bestand Oemlogo.bmp, dat fabrikanten standaard op hun computers installeren. Bij de eigenschappen van de computer wordt dit logo weergegeven. Volgens beveiligingsbedrijf Proofpoint dat de campagne analyseerde zou de aanwezigheid van het logo op "doorsnee internetgebruikers" duiden. Om de advertentiebureaus en -platformen niets te laten vermoeden had de bende de pagina waar de advertentie uiteindelijk naar wees op die van legitieme websites laten lijken.

Door deze tactieken wisten de besmette advertenties lange tijd onopgemerkt te blijven en konden ze dagelijks aan 1 tot 5 miljoen internetgebruikers worden getoond. Van deze gebruikers werd vervolgens 10% tot 20% naar de exploitkits doorgestuurd. In het geval de aanval succesvol was werd er aan de hand van de locatie van de gebruiker malware geïnstalleerd. Het ging bijvoorbeeld om Trojaanse paarden waarmee geld van bankrekeningen kon worden gestolen. Volgens Proofpoint zou de campagne al sinds de zomer van 2015 actief zijn, maar uit andere bewijzen zou blijken dat de verantwoordelijke bende al sinds 2013 operationeel is. Hoewel de campagne nu is gestopt, stelt het beveiligingsbedrijf dat de bende zeer hardnekkig is. Het is dan ook de vraag of het ook het definitieve einde van deze campagne is.

Reacties (7)
29-07-2016, 10:41 door Anoniem
Wat maar weer aantoont dat AD-blockers noodzakelijk zijn.
29-07-2016, 12:00 door Anoniem
Om de advertentiebureaus en -platformen niets te laten vermoeden had de bende de pagina waar de advertentie uiteindelijk naar wees op die van legitieme websites laten lijken.
Als dat al voldoende is om het bij advertentiebureaus en platformen voor elkaar te krijgen om malware door te zetten dan hanteren ze feitelijk geen beveiliging tegen malware. En hun klanten zijn geen haar beter door tegen geld die bureaus en platformen advertienties te laten aanbieden zonder te willen weten wat bezoekers werkelijk voor content krijgen. Het gaat hoog tijd worden dat de ACM de klanten en de advertentieindustrie hard aanpakt voor dit wangedrag.
29-07-2016, 12:33 door Anoniem
Door Anoniem: Wat maar weer aantoont dat AD-blockers noodzakelijk zijn.
... en dat we zo snel mogelijk van Adobe Flash Player als web plugin af moeten.
29-07-2016, 14:26 door Anoniem
"Hoewel de campagne nu is gestopt, stelt het beveiligingsbedrijf dat de bende zeer hardnekkig is. Het is dan ook de vraag of het ook het definitieve einde van deze campagne is."

Laten we hopen dat het het definitieve einde van het fenomeen adhoster-die-niks-merkt-en-niks-kan inluidt...
29-07-2016, 14:34 door Anoniem
Door Anoniem:
Door Anoniem: Wat maar weer aantoont dat AD-blockers noodzakelijk zijn.
... en dat we zo snel mogelijk van Adobe Flash Player als web plugin af moeten.

Maar wat is het echte probleem hier:
- Dat Adobe Flash-player zo lek is als een mandje
- Dat gebruikers Flash-player niet snle genoeg updaten
- Of dat de advertentienetwerken zwaar vervuild en onbetrouwbaar zijn, en dus gelijkgesteld kunnen worden aan malware of botnets.

Ik denk het laatste.
Gewoon de advertentienetwerken door een wereldwijde politie-actie uit de lucht halen.
Dat zal veel problemen oplossen.
29-07-2016, 16:27 door Anoniem
Door Anoniem:
Gewoon de advertentienetwerken door een wereldwijde politie-actie uit de lucht halen.
Dat zal veel problemen oplossen.

Ik doe dat locaal met unbound. Dat lost veel problemen op voordat ze kunnen optreden. En het heeft prettige neveneffecten.
29-07-2016, 19:26 door VriendP
Fijn, advertentiebedrijven die er helemaal geen probleem mee hebben om nietsvermoedende internetgebruikers in de ellende te storten.

Ik zou zelf nog een stap verder willen gaan dan een adblocker. Wat de wereld nodig heeft is een adblocker die advertenties niet toont, maar wel massaal downloadt. Dat verkloot het verdienmodel zodanig dat die bedrijven brandend ten onder gaan. En dan wordt de wereld weer ietsje beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure