Nul
En it-kriminel gruppe, kendt som ScamClub har kapret over 300 millioner browser sessioner i løbet af 48 timer til at omdirigere brugere til voksne og gavekort svindel, it-sikkerhed, virksomheden har afsløret i dag.
Trafikken kapring har fundet sted via en taktik, der er kendt som malvertising, som består i at placere skadelig kode inde i online-annoncer.
I dette særlige tilfælde, er den kode, der bruges af den ScamClub gruppe kapret en brugers browsing-session fra en legitim hjemmeside, hvor annoncen blev vist, og omdirigeret ofre gennem en lang kæde af midlertidige hjemmesider, en omdirigering kæde, der i sidste ende endte på en hjemmeside skubbe en voksen-tema-site eller et gavekort fidus.
Disse typer af malvertising kampagner har stået på i årevis, men netop denne kampagne stod ud på grund af sin massive skala, eksperter fra it-sikkerhedsfirma Confiant fortalte ZDNet i dag.
“Den November 12, vi har set en enorm stigning i vores telemetri,” Jerome Dang, Confiant co-stifter og CTO, fortalte ZDNet i en e-mail.
Billede: Confiant
Dangu siger, at hans firma, som arbejdede på at undersøge den store malvertising spike og opdagede ScamClub aktivitet kommer tilbage til August i år.
“Forskellen er den mængde,” Dango fortalte os. “En af årsagerne til den 12 November spike er, at de var i stand til at få adgang til en meget stor ad exchange. Tidligere har de kun havde adgang til lavere ry annoncenetværk, der begrænsede deres synlighed på premium hjemmesider.”
Dangu sagde, at i løbet af de 48 timer, i hvilken de malvertising spike var aktiv, 57 procent af Confiant ‘s kunder blev ramt, viser malvertising kampagne’ s enorme rækkevidde.
Han sagde, at den ondsindede annoncer, der blev skabt for at se lignende annoncer for officielle Android apps (play.google.com), men i virkeligheden blev de udviklet til at kapre iOS-USA-baserede brugere og omdirigere dem til ScamClub er voksen og gavekort svindel, hvor svindlere har forsøgt at indsamle brugernes’ personlige og finansielle data via bedrageriske tilbud.
Billede: Confiant
Dangu sagde, at hans firma har formået at blokere for omkring fem millioner af de anslået 300 millioner ondsindede omdirigerer, og at 99,5 procent af de påvirket brugere var OS-baseret, og 96 procent var iOS-brugere.
Den Confiant CTO siger malvertising kampagne aftaget på tirsdag, 13 November, som de høj-profil ad exchange fjernet den skadelige annoncer. Men ScamClub har fortsat med at fungere.
“Vi har fortsat med at se aktivitet, at omfanget af 300k hits per dag, så angriberen er stadig aktiv, men tilbage til sin sædvanlige lavere synlighed annoncenetværk,” Dangu fortalte ZDNet. “Vi forventer, at de vil fortsætte med at være aktiv inden for en overskuelig fremtid.”
ScamClub angreb var enorm, når der sammenlignes med andre
Til at sætte angreb i perspektiv, Dangu det i forhold til de kampagner, der gennemføres af Zirconium, en anden kriminel gruppe at indgå i malvertising kampagne, en gruppe, der er så avanceret, at de har skabt 28 falske reklamebureauer til at skjule deres ondsindede kampagner.
Dangu siger, at Zirconium, så avanceret, som det er, kun var ansvarlige for omkring en milliard ondsindede annoncevisninger hele 2017 år, men ScamClub eksploderet over hele 300 millioner ondsindede annoncer, på bare to dage.
Hvorfor ScamClub navn, og hvordan fungerer de?
“Vi kalder dem ScamClub på grund af den landing page domæner, de bruger (hipstarclub[.]kom og luckstarclub[.]com),” Dangu fortalte os i en e-mail.
“Landing page domæner (hosting-svindel eller seksuelt indhold), har været meget vedholdende,” tilføjede han. “Denne gruppe er virkelig god til at unddrage sig, og de bruger flere, der ændrer sig hurtigt omdirigering kæder, men i sidste ende altid føre til, at en af disse ‘starclub’ domæner.”
“Det er bemærkelsesværdigt, at et så højt omfang er i stand til at fortsætte med kun 2 domæner over en lang periode af tid,” Dangu tilføjet.
I en ledsagende rapport, der blev offentliggjort tidligere i dag, Dangu også udvidet på dette emne, med at vise sin utilfredshed med sikkerhed sælgere, der har været nødlidende i uger på indberetning af denne gruppes vigtigste to domæner som ondsindet.
Han sagde, at det tog flere uger før de to domæner blev føjet til for Googles Sikker Browsing sorte liste, og at selv nu, sikkerhed leverandører, der er opført på VirusTotal stadig ikke flag ScamClub ‘ s to vigtigste områder som skadelig, på trods af en kæmpe tre-måned-lang malvertising kampagne i gang på under deres næser.
Dangu foreslog, at en af årsagerne til, at nogle sikkerheds-leverandører og automatiseret sikkerhed scannere har undladt at registrere de to skadelige domæner var fordi ScamClub brugt koden inden for de ondsindede annoncer, der opdages, når et websted var ved at blive læsset til at blive analyseret inde i et virtuelt miljø, og når det blev lagt inde i en rigtig enhed.
Dette “særlige” – kode, må de ondsindede annoncer for ikke at udløse skadelig omdirigeringer, når de analyseres, og derfor forhindrer mange sikkerheds-leverandører fra at opdage og udflagning “starclub” domæner (ved slutningen af disse omdirigering kæder) som ondsindet.
I tilfælde af ScamClub, der er en grund til, at gruppen målrettet mobile brugere. Mens ad-blokkere, er almindeligt installeret med desktop-baserede browsere, de er ikke så almindelige med mobile browsere, og dermed grunden til, at denne særlige kampagne, der er målrettet iOS-brugere. Ad blokkere for både Android og iOS har været tilgængelig til download for år, fra de forskellige selskaber, men de fleste mobile brugere, der endnu ikke er vant til at installere på deres smartphones, som de gør på deres skriveborde.
Relaterede sikkerhed dækning:
Hacker bagdøre populære JavaScript-bibliotek til at stjæle Bitcoin fondeNye Linux-crypto-miner stjæler din root-adgangskode og deaktiverer din antivirus –4 måder at reducere dine chancer for at blive fanget af malvertising TechRepublicSkadelig kode skjult i reklame billeder omkostninger annoncenetværk $1.13 bn dette år, Hvordan Chrome blokerer for annoncer, er allerede ved at ændre web CNETEmotet malware kører på en dual-infrastruktur for at undgå nedetid og takedownsMagecart gruppe afsindigt saboterer konkurrentAndet WordPress hacking kampagne i gang
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre
0