Campagna di malvertising su otto popolari siti web

Campagna di malvertising su otto popolari siti web

La scorsa settimana otto famosi siti web sono stati veicolo, a loro insaputa, di una campagna di malvertising: vediamo di cosa si tratta

di Andrea Bai pubblicata il , alle 16:31 nel canale Sicurezza
 

Una campagna di "malvertising" si è abbattuta la scorsa settimana su almeno otto siti web abbastanza popolari. E' la società di sicurezza Fox-IT che segnala l'avvenimento spiegando che i siti colpiti potevano ospitare annunci pubblicitari compromessi allo scopo di reinstradare visite su altri siti. Lo scopo delle campagne di malvertising è quello di infettare macchine con malware per gonfiare artificiosamente i click di una campagna pubblicitaria.

Java, DeviantArt, TMZ.com, Ebay.ie, IBTimes, Photobucket, Kapaza.be e TVgids.nl sono i siti coinvolti nella vicenda, che si è consumata secondo le informazioni dal 19 al 22 agosto scorsi. E' importante precisare che questi siti non sono stati compromessi, ma è il sistema di advertising che essi utilizzano che ha permesso il verificarsi del problema.

Le pubblicità erogate da AppNexus sono state la fonte del malvertising, completamente all'insaputa dei vari siti coinvolti. La società di sicurezza Fox-IT ha comunicato il problema ad AppNexus in maniera tale da poter ricorrere ai ripari. Per via delle dinamiche inerenti all'assegnazione degli spazi pubblicitari è però difficile poter distinguere le pubblicità sane da quelle malevole, le quali sono state erogate per un periodo di tempo relativamente lungo.

Anche il modo in cui il sistema di advertising gestisce la pratica del retargeting può essere una causa del problema. Con questo termine si indica il tracciamento di informazioni conservate nei cookie o in altri tipi di file, che permettono ai pubblicitari di mostrare ai visitatori di un sito inserzioni differenti rispetto a quelle mostrate nelle visite precedenti oppure affini a determinati interessi degli utenti. A seconda del sistema di assegnazione degli spazi pubblicitari, può accadere che i siti web non sappiano di mostrare pubblicità con retargeting. Questo meccanismo può però essere sfruttato anche dai malintenzionati, architettando un sistema che mostri all'utente un'inserzione pubblicitaria che in realtà conduce ad un malware.

Fox-IT ha individuato che gli annunci pubblicitari malevoli hanno fatto uso dell'exploit kit Angler il quale opera un controllo per verificare se sul sistema dell'utente che sta al momento visualizzando l'inserzione sia presente una versione vulnerabile di Flash, Java o Silverlight. In caso di riscontro positivo viene avviato il download di un malware che nel caso specifico delle ricerche condotte da Fox-IT è stato individuato essere Asprox, in seguito aggiornato ad una versione simile denominata Rerdom.

Rerdom è un malware di tipo click-fraud ed è in grado di adottare varie contromisure per preservare la propria presenza sul sistema. Il malware infatti si installa come servizio con un nome quasi casuale e modifica le voci del registro relative all'avvio del sistema. Nel caso di Windows-XP si autoprogramma come task ricorrente ogni ora.

Per prevenire questo genere di problemi è opportuno mantenere aggiornati i propri plugin, così come abilitare le funzioni di Click-to-Play per i browser che le prevedono (Firefox e Chrome le hanno integrate) o scaricare appositi plugin come ClickToFlash per Safari.

Maggiori informazioni sono disponibili sul blog ufficiale di Fox-IT, in questo intervento: http://blog.fox-it.com/2014/08/27/malvertising-not-all-java-from-java-com-is-legitimate/

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sbaffo28 Agosto 2014, 19:16 #1
click-to-play sarebbe il 'chiedi prima di attivare' nei plugin, vero?

Comunque ricordo che qualche anno fa unche hwupgrade aveva delle pubblicità infette che sfruttavano java, ma è bastato cazziare il fornitore di pubblicità e sono scomparse, giusto? :-)

tra l'altro, solo a me flash non avverte più quando ci sono aggiornamenti?
frankie28 Agosto 2014, 19:38 #2
Mah giusto ieri su un pc da ufficio sono cominciati un po' di redirect alla classica pagina di paga perchè nel tuo sistema ci sono file illeciti, versione carabinieri. era solo un redirect, non il bloccodel pc intero.
Pensavo fosse un sito, ma poi mi appare qui e in altri 5 siti...
eppure avevo java e flash aggiornati!
Provata scansiona antivirus, negativa, file e processi sospetti boh, non mi sembrava di vederne.
Reinstallazione (non senza problemi), la dovevo già fare da un po'.
Comunque il bloatware di HP riesce a superare quello di samsung!
rockroll29 Agosto 2014, 03:17 #3
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: http://www.hwupgrade.it/news/sicure...-web_53777.html

La scorsa settimana otto famosi siti web sono stati veicolo, a loro insaputa, di una campagna di malvertising: vediamo di cosa si tratta

Click sul link per visualizzare la notizia.


Non so se metterlo in relazione con quanto riportato nell'articolo, ma domenica scorsa era quasi impossibile linkarsi alla diretta del GP F1 tramite www.rojadirecta.me (se aspettiamo la differita RAI stiamo freschi), Rojadirecta che risultava compromesso, presentando appena entrati la tristemente famosa segnalazione pressochè bloccante "script occupato o ha smesso di funzionare" (solitamente è colpita la pubblicità che sfrutta quella meraviglia di Flash...). l'alternativa in italiano it.rojadirecta.eu invece andava e va benissimo. Il problema è stato poi risolto, ma ora su dominio .me è tornato...

A pensar male si pecca, ma si azzecca...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^