Campagna di malvertising su otto popolari siti web

Autore: Le news di Hardware Upgrade

Una campagna di “malvertising” si è abbattuta la scorsa settimana su almeno otto siti web abbastanza popolari. E’ la società di sicurezza Fox-IT che segnala l’avvenimento spiegando che i siti colpiti potevano ospitare annunci pubblicitari compromessi allo scopo di reinstradare visite su altri siti. Lo scopo delle campagne di malvertising è quello di infettare macchine con malware per gonfiare artificiosamente i click di una campagna pubblicitaria.

Java, DeviantArt, TMZ.com, Ebay.ie, IBTimes, Photobucket, Kapaza.be e TVgids.nl sono i siti coinvolti nella vicenda, che si è consumata secondo le informazioni dal 19 al 22 agosto scorsi. E’ importante precisare che questi siti non sono stati compromessi, ma è il sistema di advertising che essi utilizzano che ha permesso il verificarsi del problema.

Le pubblicità erogate da AppNexus sono state la fonte del malvertising, completamente all’insaputa dei vari siti coinvolti. La società di sicurezza Fox-IT ha comunicato il problema ad AppNexus in maniera tale da poter ricorrere ai ripari. Per via delle dinamiche inerenti all’assegnazione degli spazi pubblicitari è però difficile poter distinguere le pubblicità sane da quelle malevole, le quali sono state erogate per un periodo di tempo relativamente lungo.

Anche il modo in cui il sistema di advertising gestisce la pratica del retargeting può essere una causa del problema. Con questo termine si indica il tracciamento di informazioni conservate nei cookie o in altri tipi di file, che permettono ai pubblicitari di mostrare ai visitatori di un sito inserzioni differenti rispetto a quelle mostrate nelle visite precedenti oppure affini a determinati interessi degli utenti. A seconda del sistema di assegnazione degli spazi pubblicitari, può accadere che i siti web non sappiano di mostrare pubblicità con retargeting. Questo meccanismo può però essere sfruttato anche dai malintenzionati, architettando un sistema che mostri all’utente un’inserzione pubblicitaria che in realtà conduce ad un malware.

Fox-IT ha individuato che gli annunci pubblicitari malevoli hanno fatto uso dell‘exploit kit Angler il quale opera un controllo per verificare se sul sistema dell’utente che sta al momento visualizzando l’inserzione sia presente una versione vulnerabile di Flash, Java o Silverlight. In caso di riscontro positivo viene avviato il download di un malware che nel caso specifico delle ricerche condotte da Fox-IT è stato individuato essere Asprox, in seguito aggiornato ad una versione simile denominata Rerdom.

Rerdom è un malware di tipo click-fraud ed è in grado di adottare varie contromisure per preservare la propria presenza sul sistema. Il malware infatti si installa come servizio con un nome quasi casuale e modifica le voci del registro relative all’avvio del sistema. Nel caso di Windows-XP si autoprogramma come task ricorrente ogni ora.

Per prevenire questo genere di problemi è opportuno mantenere aggiornati i propri plugin, così come abilitare le funzioni di Click-to-Play per i browser che le prevedono (Firefox e Chrome le hanno integrate) o scaricare appositi plugin come ClickToFlash per Safari.

Maggiori informazioni sono disponibili sul blog ufficiale di Fox-IT, in questo intervento: http://blog.fox-it.com/2014/08/27/malvertising-not-all-java-from-java-com-is-legitimate/

Campagna di malvertising su otto popolari siti web ultima modifica: 2014-08-29T00:06:00+00:00 da admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Aggiungi una immagine