Что такое Malvertising: от А до Я с примерами

Вредоносная реклама, или malvertising, — это вид цифрового мошенничества, при котором злоумышленники с помощью фальшивых рекламных объявлений распространяют опасный код, генерируют трафик на сайтах, крадут персональные данные или получают незаконный доступ к аккаунтам пользователей в социальных сетях. Ну и просто обманывают людей на продаже товаров через фальшивые магазины.

Слово malvertising состоит из двух английских слов: «malware», что переводится как «вредоносная программа», и «advertising», что в переводе означает «реклама».

Согласно отчету экспертов в области кибербезопасности, в 2019 году каждое сотое рекламное объявление было вредоносным. А в 2017 году, согласно заявлению Google, каждую секунду система удаляла более 100 таких объявлений, в общей сумме их число превышало 190 млн. Из них 79 млн вели на сайты с опасным контентом, 66 млн представляли собой «trick-to-click» рекламу (содержали обманный посыл), 48 млн пытались убедить пользователей установить нежелательное ПО.

Принцип вредоносной рекламы

Мошенник создает кампанию на любой рекламной площадке и размещает объявление на сайте с высоким трафиком. С объявления он проставляет ссылку на вредоносный сайт.

Внешне такое объявление выглядит вполне законным, рядовым и привлекательным, а аудитория доверяет трафиковой площадке. Но как только пользователь переходит по рекламе на ресурс злоумышленника, на его устройство либо скачивается вредоносное ПО, либо он самостоятельно выполняет действия, компрометирующие его устройство или персональные данные.

Не всегда реклама размещается через, например, Яндекс Директ или Google Ads. Владелец ресурса может сотрудничать и с каким-нибудь агентством, поэтому размещает рекламу на своих страницах при помощи специального ПО или кода.

Рекламные площадки фильтруют мошеннические и вредоносные объявления, однако злоумышленники находят новые уязвимости или применяют «бомбардировку» рекламой, где срабатывает простой человеческий фактор, поэтому объявление пропускается службой модерации.

Способы распространения вредоносного ПО через рекламу

Виды malvertising, используемые мошенниками, отличаются методами распространения вредоносного кода, но в целом схожи.

  • Автоматическая загрузка

Drive-by Download, или вынужденная автоматическая загрузка, — это технология распространения вредоноса, при которой ПО загружается на устройство пользователя автоматически, когда тот посещает сайт через вредоносное рекламное объявление. То есть пользователь увидел на знакомом сайте рекламу, перешел по ней и попал на сайт с мошеннической «начинкой», которая тут же установилась на его устройство.

  • Загрузка по клику

Click to Download, также называется загрузка по клику, — технология, при которой вредоносное ПО загружается на устройство после совершения пользователем определенного действия. Например, он перешел по мошеннической рекламе на сайт злоумышленника и нажал скачать какую-нибудь программу, которая выдает себя за настоящее ПО, но на самом деле является вредоносной.

Отличие malvertising от adware

Понятия adware и malvertising можно спутать, так как оба относятся к мошенничеству с рекламой.

Malvertising отличается от adware тем, что оно само по себе является объявлением с опасным содержимым, а adware — это вредоносная программа, загруженная пользователем к себе на устройство.

Adware — это программа, которая работает в фоновом режиме в формате нон-стоп на устройстве пользователя. Как только пользователь переходит на какой-нибудь сайт, который монетизирует свой контент размещением рекламы, вредоносное ПО подменяет объявления на свои. Поскольку вредонос сидит в устройстве пользователя, то для показала релевантной рекламы он собирает всю маркетинговую информацию о владельце.

Именно так злоумышленники генерируют фальшивые показы, клики, лиды.

Примеры malvertising

Масштабы вредоносной рекламы впечатляют. Над ней работают десятки мошеннических группировок и отдельных злоумышленников.

Zirconium и 28 поддельных рекламных агентств

Именно так называлась масштабная мошенническая кампания, организованная в феврале 2018 года для генерации мошеннического трафика и распространения вредоносной программы. Для выполнения атаки злоумышленники создали 28 фальшивых рекламных агентств.

Мошенники позаботились о создании репутации и реалистичности своим агентствам. Для «специалистов» компании были зарегистрированы даже фейковые аккаунты в социальных сетях.

Как только злоумышленники заработали своим агентствам достаточную репутацию, они принялись за размещение вредоносных объявлений. Более 1 млн раз мошенники разместили опасные объявления на трафиковых ресурсах.

Для генерации трафика с последующей его продажей или же распространения вредоноса мошенники использовали технологию принудительных редиректов для сортировки визитов. Как только пользователь переходил по рекламному объявлению, его направляло на промежуточный сайт, затем он попадал на один из сайтов, принадлежавших группировке Zirconium, а затем уже — на один из продвигаемых ресурсов.

Обнаружили атаку и рассказали о ней специалисты компании Confiant. Согласно подсчетам экспертов, жертвами злоумышленников стали 16 рекламных площадок и 2,5 млн пользователей. 95% жертв находились на территории США.

Целью мошенников были ПК пользователей, мобильный трафик игнорировался. Операционная система значения не имела.

Tag Barnakle и 120 взломанных рекламных серверов

В 2020 году хакерская группа Tag Barnakle взломала 60 рекламных серверов, через которые внедряла мошенническую рекламу на сайты вебмастеров. Как только сайт загружался в браузере пользователя, сервер подменял настоящее объявление на мошенническое. Пользователя, который кликнул на рекламу, вместо рекламируемого товара или услуги перенаправляло на ресурс с вредоносным ПО.



Атаки были невероятно масштабными. По приблизительным оценкам экспертов, от рук злоумышленников могли пострадать сотни миллионов пользователей.

ScamClub и атака на пользователей iOS и macOS

Хакеры использовали уязвимость в WebKit, благодаря которой перенаправляли пользователей операционных систем macOS и iOS на скамерские сайты. Киберпреступники злоупотребляли уязвимостью «0-day» (нулевого дня) в браузерах Safari и Google Chrome для iOS на базе WebKit (CVE-2021-1801).

Целью злоумышленников было получение платежных данных, преимущественного пользователей мобильных устройств на iOS. Мошенники размещали вредоносную рекламу на сторонних сайтах через рекламные агрегаторы, используя потоковый принцип с расчетом на фильтрацию и блокировку большинства своих объявлений. В итоге вредоносная реклама была показана более 50 млн раз.

На своих сайтах, на которые переходили пользователи по рекламе, мошенники продавали фальшивые подарочные сертификаты.

eGobbler и фишинг

Более 500 млн сессий удалось скомпрометировать хакерской группировке eGobbler в апреле 2019 года, которая использовала уязвимость браузеров владельцев iPhone и iPad (Chrome для iOS) и перенаправляла тех на вредоносные сайты. Большинство мошеннических ресурсов были расположены на доменах .world. 

Благодаря уязвимости браузеров злоумышленники внедряли скрипт, который позволял мошенническому коду выходить из песочницы iframe и направлять пользователя на свой сайт. Кроме того, код мог и вовсе вызывать всплывающее уведомление на легитимном ресурсе.

Данная группировка уже была известна ранее атакой в 800 млн показов вредоносных объявлений в феврале 2019 года. В тот раз реклама перенаправляла жертв на фишинговые сайты и ресурсы несуществующей технической поддержки.

VeryMal и реклама для Apple со стенографией

В качестве жертв хакерская группировка VeryMal выбрала пользователей устройств Apple. Для размещения вредоносных рекламных объявлений они использовали стенографию и прятали мошеннический код внутри изображений. За 48 часов им удалось скомпрометировать порядка 5 млн сессий.

Атака выглядела следующим образом: злоумышленники выкупали рекламные места на сайтах и размещали объявления с изображением, в котором размещался вредоносный код. В том же слоте, в котором располагалась реклама, дополнительно подгружался код JavaScript, который отсеивал тех пользователей, чьи браузеры не поддерживали шрифты Apple. Извлеченный код перенаправлял жертв на сторонние сайты, где им предлагалось обновить ПО, как правило, это был Adobe Flash Player.

По данным специалистов Malwarebytes, в объявлениях содержался вредоносный ботнет Shlayer, используемый для установки adware.

NoTrove и продажа трафика

Злоумышленники из хак-группы NoTrove специализируются на malvertising. Группировка ведет свою деятельность с 2010 года. В их распоряжении находятся 3000 IP-адресов и 2000 доменов, которые злоумышленники используют для генерации и продажи трафика.

Киберпреступники обманом заставляли жертв нажимать на рекламные объявления, предлагая им бесплатно дорогостоящие товары, например, приставки PlayStation, и перенаправлять их на скамерские сайты, страницы опросов и ресурсы для загрузки опасного ПО. Для этого использовались множественные редиректы.

По сути, они управляли вредоносными рекламными объявлениями и перенаправляли трафик тем, кто за него заплатит, — другие злоумышленники, партнерские маркетинговые агентства и т. д. 

Примеры доменов:

Красным — набор случайных символов, который, предположительно, обозначает кампанию. Зеленым — тип кампании (скам, анкета, загрузка ПО). Всего 78 вариантов. Синим — основной домен.

По данным RiskIQ, группировка смогла сгенерировать на одном из своих сайтов такое количество трафика, что домен достиг 517 позиции в рейтинге ресурсов Alexa и обошел такие популярные сайты, как Vice News, NFL.com, TechCrunch, HackerNews или SlashDot.

Вредоносная реклама в Skype

В марте 2017 года пользователи Skype заметили появление вредоносной рекламы, больше похожей на шифровальщика. На главном экране приложения отображался баннер, рекламирующий якобы обновление для Adobe Flash Player. Однако после перехода по ссылке с баннера пользователю на устройство скачивалось вредоносное ПО. 

Как сообщили специалисты, целью атак были компьютеры под управлением ОС Windows. В результате запуска приложения срабатывал обфусцированный JavaScript. Через консоль удалялось открытое приложение, затем запускалась PowerShell-команда, которая загружала JSE-файл. Для загрузки такого файла злоумышленники использовали множества доменов, которые тут же, после заражения пользовательского устройства, удалялись. Вероятно, для генерации поддельных вредоносных доменов использовался алгоритм Domain Generation Algorithm (DGA). 

Экспертам не удалось «поймать» вредонос, однако они склонны предполагать, что это был аналог шифровальщика Locky, который в начале 2017 года был замечен в совместной с кликфродовым ботнетом Kovter.

WordPress, Adobe Flash — кто стал жертвой вредоносной рекламы

Жертвами malvertising становятся не только рядовые пользователи, но и крупные порталы и бренды, среди которых Spotify, WordPress, The New York Times, The Atlantic и Adobe Flash. Эти компании были подвержены мошенническим атакам, поэтому сами того не зная распространяли вредоносы через рекламные объявления, что подпортило их репутацию в глазах аудитории.

Легко ли обмануть рекламную площадку

Всё что нужно для создания вредоносной рекламы — аккаунт и умение создавать рекламные кампании.

Британский журнал Which провел собственное расследование, в ходе которого выяснилось, что создать и разместить мошенническую рекламу на известной рекламной площадке не составит труда.

Журналисты придумали несуществующий бренд и начали его продвигать. Результаты эксперимента следующие:

  • Google Ads опубликовал поддельные объявления в течение часа после их создания.
  • Facebook (принадлежит Meta, запрещенной на территории РФ организации) частично заблокировал рекламные объявления, но при этом разрешил продвигать саму страницу.

Вслед за результатом такого эксперимента тут же посыпались вопросы о том, стоит ли в принципе доверять рекламным объявлением? Если вот так легко можно попасть на вредоносный сайт.

Несмотря на все попытки рекламных площадок и отдельных организаций остановить такую рекламу, она всё еще продолжает существовать и набирает обороты. Принятых мер кажется недостаточно.

Как распознать поддельную интернет-рекламу 

Давайте посмотрим, что можно сделать, чтобы обнаружить вредоносную интернет-рекламу:

  • Проверьте, соответствует ли URL-адрес, используемый в объявлении, целевой странице. Мошенники обычно пытаются скрыть свое настоящее доменное имя, поскольку оно не пользуется хорошей репутацией.
  • Изучите компанию рекламодателя, чтобы узнать, существует ли она на самом деле: проверьте, есть ли у нее действующий адрес, запись в реестре и другие контакты и упоминания. 
  • Найдите отзывы — они также могут помочь вам понять, существует ли компания и предлагает ли она настоящие товары или услуги. 
  • Проверьте раздел комментариев — пользователи, ставшие жертвами злоумышленников от malvertising, часто пытаются комментировать объявления, чтобы предотвратить повторение мошенничества.

Когда дело доходит до интернет-магазинов или площадок-агрегаторов, с подозрением отнеситесь к:

  • товарам, которые трудно найти, особенно, если их нет в наличии на других сайтах;
  • слишком низким ценам, ведь низкие цены — отличный способ привлечь внимание и заинтересовать. 

Мошенники делают всё возможное, чтобы обманывать доверчивых пользователей и вынуждать их нажимать на вредоносную рекламу. Именно поэтому они используют любые хитрости, психологические и технические, для генерации и/или продажи мошеннического трафика, кражи персональных данных, выманивания денежных средств, компрометации устройств, загрузки вредоносного ПО.

Как защититься от вредоносной рекламы (malvertising)

У каждой malvertising-атаки есть свои предупреждающие знаки. Чтобы их распознать и не стать жертвой мошенников, предлагаем несколько советов и приемов:

  • Спросите себя, выглядит ли рекламное объявление настоящим, легитимным? Соответствует ли информация, изображенная на нем, здравому смыслу. Ну подумайте, кто будет отдавать даром новую приставку PlayStation.
  • Используйте блокировщик рекламы для блокировки показа всех рекламных объявлений при просмотре любых сайтов.
  • Если вас заинтересовало рекламное предложение, не спешите переходить по нему — поищите в поиске рекламируемую компанию или товар и посетите официальный сайт.
  • Если сомневаетесь в реальности предложения, лучше не нажимайте на объявление.
  • Для безопасности вашего устройства установите на него антивирус. Это гарантия защиты от большинства вредоносного ПО.

Размещение рекламы приносит владельцам информационных сайтов существенный доход. Количество пользователей интернета в мире в 2020 году выросло до 4,54 миллиарда человек. Именно поэтому так распространена технология мошенничества под названием malvertising.

Вы вебмастер, и монетизируете свой сайт через размещение рекламы? Чтобы защитить свой сайт от ботов, скликивателей и вредоносной рекламы, установите на сайт защиту Botfaqtor, которая блокирует большинство угроз в области скликивания и генерации фальшивого трафика.

Сервис Botfaqtor разработал технологию Антибот, которая автоматически обнаруживает некачественный трафик. Алгоритм распознает посетителей ресурса на основе 100 технических и поведенческих параметров. Точность определения некачественного и мошеннического трафика составляет 98% – это максимальный показатель в сфере web-безопасности.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий