Вредоносные баннеры снова атакуют

08 Декабрь 2016

Вредоносная реклама доставляет не мало проблем обычным пользователям. Кроме того, что она замедляет скорость загрузки страниц и отвлекает от работы, игр, общения, так она еще и является самым большим источником вредоносного ПО, которое загружается на персональные компьютеры. Чаще всего такие вирусы действуют скрыто, поэтому они могут оставаться незамеченными как для самих пользователей, так и для антивирусных программ.

Исследователям двух известных компаний Malwarebytes и ESET удалось обнаружить очень опасное вредоносное ПО, которое попадает на компьютеры пользователей именно через рекламу на сайтах. Данный вирус благополучно действовал еще с сентября и долгое время оставался незамеченным. Эксперты назвали этот вирус Stegano. Его главной особенностью является то, что для его создания использовался метод стеганографии. Он подразумевает передачу данных с сохранением в тайне самого факта передачи. В данном случае Stegano был замаскирован под обычное PNG-изображение, поэтому его так долго не удавалось обнаружить.

В большинстве случаев новый вирус размещался вместе с баннерами, рекламирующими продукты Browser Defence и Broxu. Такая реклама появлялась на очень многих сайтах, включая и такие популярные и известные во всем мире ресурсы, как MSN, Yahoo Mail и прочие сайты, аудитория которых могла превышать 1 млн человек в день.

Вредоносный код внедрялся через такие рекламные сети, как Yahoo Ad Network и SmartyAds. Такую вредоносную рекламу видели не все пользователи. Случаи заражения персональных компьютеров новым вирусом регистрировались преимущественно в Канаде, Великобритании, Австралии, Италии и Испании.

Вредоносный код был интегрирован в рекламный баннер очень хитрым способом. JavaScript-код внедрялся в виде набора пикселей, который накладывался на любое изображение в PNG-файле. При помощи регулировки уровня прозрачности можно было такие наложенные пиксели сделать совершенно незаметными для человеческого глаза. В рекламные сети специально загружалась такая зараженная картинка, которая потом использовалась для формирования баннера. На сегодняшний день уже многие ресурсы перешли полностью на формат HTML5. Это же касается и рекламы. Но на некоторых сайтах все таки осталась поддержка JavaScript, однако перед его выполнением он подвергается очень слабой проверке, благодаря чему его часто используют хакеры для распространения вредоносных программ.

Некоторым может показаться, что вредоносный код, внедренный таким образом, совершенно безобидный. Но на самом деле он может нанести очень большой ущерб пользователю. Сразу же после активации вредоносный код совершал очень много проверок для того, чтобы выяснить степень уязвимости используемого программного обеспечения на персональном компьютере. Если соединение и ПО не вызывают сомнений, то на ПК загружается целый пакет эксплоитов, которые на финальном этапе атаки пытаются получить доступ для управления системой. Для этого используются давно известные уязвимости в Adobe Flash. Как только эта атака завершается и компьютер пользователя оказывается зараженным, хакеры получают полный доступ к паролям, которые вводит пользователь. Кроме этого они могут отслеживать нажатие клавиш на клавиатуре, делать скриншоты в любой момент, осуществлять запись видео с веб-камеры без ведома пользователя и пр.