Вредоносную рекламу в последнее время всё чаще замечают на крупных порталах, занимающих не последние места в топе Alexa. В этом свете совсем неудивительно, что аналитики компании Malwarebytes зафиксировали новую рекламную кампанию, распространяющую набор эксплоитов Angler, на сайтах LiveJournal.com и Likes.com.
Исследователь Malwarebytes Джером Сегура (Jerome Segura) пишет, что атака на «Живой Журнал» и Likes.com, это вполне логичный ход со стороны злоумышленников. Аудитория обоих сервисов огромна: ЖЖ привлекает порядка 110 млн посетителей в месяц, а Likes.com около 140 млн. Так как жертвам даже не нужно кликать на опасные объявления (достаточно просто загрузки баннера), такая кампания определенно приносит ощутимые результаты.
Для реализации атаки злоумышленники воспользовались уже проверенным способом. Ранее, в двадцатых числах марта, эта же группа скомпрометировала один из популярнейших сайтов в Австралии — Gumtree.com.au. Тогда хакеры предварительно взломали сайт настоящей коммерческой фирмы и создали не вызывающий подозрений поддомен, который и использовали для размещения инфраструктуры эксплоита. Также группа ввела в заблуждение администраторов рекламных платформ, чередуя вредоносную рекламу с обычной и при этом выдавая себя за настоящую компанию-жертву. Для своих баннеров хакеры использовали настоящие логотипы и тексты с сайта компании, что тоже сыграло им на руку.
В случае с LiveJournal.com и Likes.com злоумышленники вновь применили эту же тактику: скомпрометировали легитимный сайт некой компании и использовали его в качестве ширмы. Сегура предполагает, что для взлома чужих бизнесов хакеры используют фишинг или вредоносное ПО, похищающее пароли с компьютеров администраторов. При этом злоумышленники прицельно выбирают компании, продающие какие-либо продукты и услуги, и использующие для своих реальных рекламных кампаний узнаваемые элементы дизайна. Подделываясь под такую рекламу, хакеры вызывают меньше подозрений.
Специалисты Malwarebytes уже уведомили о происходящем сотрудников рекламной платформы AppNexus, которая использовалась для реализации обеих атак. Обе вредоносные кампании были деактивированы.
