Nul
Een cyber-criminele groep die bekend staat als ScamClub gekaapt door meer dan 300 miljoen browser sessies meer dan 48 uur om gebruikers om te leiden naar volwassene en van de gift card oplichting, een cyber-security bedrijf heeft geopenbaard vandaag.
Het verkeer gijzeling heeft plaatsgevonden via een tactiek die bekend staat als malvertising, die bestaat uit het plaatsen van kwaadaardige code in online advertenties.
In dit specifieke geval, de code die gebruikt wordt door de ScamClub groep gekaapt een gebruiker de sessie van een legitieme site, waarop de advertentie is weergegeven, en worden doorgestuurd slachtoffers door een lange keten van tijdelijke websites, een omleiding van de keten die uiteindelijk eindigde op een website van het duwen van een volwassene-thema-site of een gift card scam.
Deze types van malvertising campagnes hebben al jarenlang, maar deze campagne stond vanwege zijn enorme schaal experts van cyber-security bedrijf Confiant vertelde ZDNet vandaag.
“Op 12 November hebben we een enorme piek in onze telemetrie,” Jerome Dang, Confiant mede-oprichter en CTO, vertelde ZDNet in een e-mail.
Afbeelding: Confiant
Dangu zegt dat zijn bedrijf gewerkt aan het onderzoeken van de enorme malvertising spike en ontdekt ScamClub activiteit gaan terug naar augustus dit jaar.
“Het verschil is het volume” Dango ons verteld. “Een van de redenen voor de November 12 spike is dat zij in staat waren om toegang te krijgen tot een zeer grote ad exchange. Vroeger hadden ze alleen nog toegang tot een lagere reputatie advertentie netwerken die beperkt hun zichtbaarheid op premium websites.”
Dangu zei dat tijdens de 48 uren tijdens welke de malvertising spike actief was 57 procent van de Confiant de klanten werden getroffen, met de malvertising campagne is een enorm bereik.
Hij zei dat de kwaadaardige advertenties werden gemaakt om te kijken als advertenties voor officiële Android apps (play.google.com), maar in werkelijkheid, ze zijn ontworpen om te kapen iOS-ONS-op basis van gebruikers en om te buigen naar ScamClub volwassen en gift card oplichting, waar boeven probeerden te verzamelen van gebruikers’ persoonlijke en financiële gegevens via bedrieglijke aanbiedingen.
Afbeelding: Confiant
Dangu zei dat zijn bedrijf beheerd blok rond de vijf miljoen van de naar schatting 300 miljoen kwaadaardige omleidingen en dat 99,5 procent van de getroffen gebruikers werden in de VS gevestigde, en 96 procent iOS-gebruikers.
De Confiant CTO zegt de malvertising campagne afgenomen op dinsdag 13 November, als de high-profile ad exchange verwijderd van de kwaadaardige advertenties. Maar ScamClub is blijven werken.
“We hebben verder om te zien activiteit, op de schaal van 300 hits per dag, dus de aanvaller is nog steeds actief, maar terug naar de normale lagere zichtbaarheid advertentie netwerken,” Dangu vertelde ZDNet. “We verwachten dat ze actief blijven in de nabije toekomst.”
ScamClub aanval was enorm, vergeleken met anderen
Zet de aanval in perspectief, Dangu, vergeleken het met de campagnes uitgevoerd door Zirkonium, een andere criminele groep betrekken in malvertising campagne, een groep die zo geavanceerd is dat ze gemaakt 28 nep reclamebureaus te verhullen hun kwaadaardige campagnes.
Dangu zegt dat Zirkonium, dat zo geavanceerd is als het is, alleen verantwoordelijk was voor ongeveer een miljard schadelijke vertoningen in het hele 2017 jaar, maar ScamClub ontplofte over 300 miljoen kwaadaardige advertenties in slechts twee dagen.
Waarom de ScamClub naam en hoe werken ze?
“We noemen ze ScamClub door de bestemmingspagina domeinen die ze gebruiken (hipstarclub[.]com en luckstarclub[.]com),” Dangu vertelde ons in een e-mail.
“De bestemmingspagina domeinen (hosting oplichting of inhoud voor volwassenen) zijn zeer persistent,” voegde hij eraan toe. “Deze groep is erg goed in het ontwijken en ze gebruiken meerdere snel veranderende omleiding ketens, maar uiteindelijk altijd leiden tot een van die ‘starclub domeinen.”
“Het is belangrijk dat deze een hoge schaal werkzaamheden kunnen blijven met slechts 2 domeinen over een lange periode van tijd,” Dangu toegevoegd.
In een begeleidend rapport publiceerde eerder vandaag, Dangu ook uitgebreid op dit onderwerp, het tonen van zijn ontevredenheid met de leveranciers van beveiligingsoplossingen, die zijn falende weken bij de rapportage van deze groep de twee belangrijkste domeinen als kwaadaardig.
Hij zei het duurde weken voordat de twee domeinen zijn toegevoegd aan de Google Safe Browsing zwarte lijst, en dat zelfs nu, leveranciers van beveiligingsoplossingen vermeld op VirusTotal nog geen vlag ScamClub de twee belangrijkste domeinen als kwaadaardig, ondanks een gigantische drie-maand-lange malvertising campagne gaande onder hun neus.
Dangu gesuggereerd dat een van de redenen waarom sommige leveranciers van beveiligingsoplossingen en geautomatiseerde security scanners hebben gefaald voor het detecteren van de twee kwaadaardige domeinen, was omdat ScamClub gebruikt code binnen de kwaadaardige advertenties die gedetecteerd wanneer een website wordt geladen om te worden geanalyseerd binnen een virtuele omgeving, en toen het werd geplaatst in een echt apparaat.
Deze “speciale” code toegestaan de kwaadaardige advertenties niet te leiden tot de schadelijke omleidingen bij geanalyseerd, en daarom is het voorkomen van veel leveranciers van beveiligingsoplossingen van het opsporen en markeren van de “starclub” domeinen (aan het einde van deze omleiding ketens) als kwaadaardig.
In het geval van ScamClub, er is een reden waarom de groep gerichte mobiele gebruikers. Terwijl ad blockers worden vaak geïnstalleerd met een desktop-gebaseerde browsers, ze zijn niet zo vaak met mobiele browsers, vandaar de reden waarom deze bijzondere campagne gericht iOS-gebruikers. Ad blockers voor zowel Android en iOS zijn beschikbaar om te downloaden voor de jaren, uit verschillende bedrijven, maar de meeste mobiele gebruikers zijn nog niet gewend aan het installeren van een op hun smartphone als ze dat doen op hun desktops.
Verwante artikelen:
Hacker backdoors populairste JavaScript-bibliotheek om te stelen Bitcoin fundsNew Linux crypto-mijnwerker steelt jouw root wachtwoord in en schakelt u de antivirus4 manieren om te verminderen uw kansen op het krijgen van gevangen door malvertising TechRepublicKwaadaardige code verborgen in reclame beelden van de kosten ad-netwerken $1.13 miljard dit yearHow Chrome-het blokkeren van advertenties is al aan het veranderen van de website CNETEmotet malware draait op een dual-infrastructuur te voorkomen, downtime en takedownsMagecart groep hilarisch saboteert competitorSecond WordPress te hacken campagne aan de gang
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters
0