Компания Check Point рассказала об обнаружении масштабной кампании по распространению вредоносной рекламы. Более 10 000 взломанных сайтов на WordPress еженедельно генерируют более 40 000 попыток заражения. Исследователи присвоили обнаруженной схеме название Master134, «в честь» URL главного сервера злоумышленников (134[.]249[.]116[.]78).
Все началось с того, что операторы Master134 взломали более 10 000 сайтов, работающих под управлением WordPress. По данным исследователей, взлому подвергались сайты на WordPress 4.7.1, — эта версия CMS печально известна наличием RCE-уязвимости, с помощью которой преступники могут перехватить управление ресурсом.
Злоумышленники внедряют на скомпрометированные сайты вредоносный код, который отвечает за показ посетителям рекламы и перенаправляет их к «официальному» хакерскому сервису редиректов. Кроме того, на портал редиректов Master134 могут привести и ппотенциально нежелательные программы (например, софт, изменяющий домашнюю страницу браузера), которые тоже распространяют злоумышленники.
Основным способом монетизации всей этой системы является продажа рекламных слотов. Так, хакеры размещают свои предложения в крупной рекламной сети AdsTerra, от лица аккаунта Publisher ("Издателя"), — такие учетные записи доступны владельцам сайтов, на которых есть свободные места для рекламы.
Затем рекламные слоты у преступников перекупает один из трех крупных реселлеров: AdventureFeeds, EvoLeads или ExoClick. Эксперты пишут, что потом рекламные места у реселлеров покупают самые разные преступные группы. Так, услугами этой системы перепродажи рекламы через AdsTerra пользовались операторы наборов эксплоитов (RIG, Magnitude, GrandSoft, FakeFlash), операторы систем распределения трафика (Fobos, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip), а также многочисленные скамеры и владельцы ресурсов фальшивой техподдержки.
Специалисты Check Point считают, что всё это не является совпадением: преступники не случайно скупают рекламные места и трафик именно у авторов Master134.
«Похоже, здесь имеет место некое масштабное сотрудничество между сразу несколькими группами злоумышленников, которое успешно поддерживается посредством сторонних рекламных сетей, крупнейшей из которых является AdsTerra», — пишут аналитики.
Эксперты полагают, что злоумышленники оплачивают услуги Master134 напрямую, а операторы Master134, в свою очередь, оплачивают услуги рекламных сетей, покупая таким образом перенаправление трафика и, вероятно, даже маскировку его источников.
«Данный сценарий делает Master134 уникальным представителем киберпреступного мира. Они получают доходы от рекламы, работая напрямую с AdsTerra, и успешно следят за тем, чтобы этот трафик попадал в нужные (или скорее “в ненужные”) руки».
UPD. В первой версии отчета специалистов, в числе реселлеров рекламных мест злоумышленников, была упомянута компании AdKernel. Позже исследователи признали, что это была ошибка, и данная компания никак не связана с данной мошеннической схемой. Наш материал так же был исправлен соответствующим образом.