YouTube instruktions hacka videoklipp: Att förbjuda eller inte förbjuda
YouTube tog bort ‘instruktions hacking’ innehåll från en framstående pedagogiska kanal. Anhängare kämpade tillbaka.
Forskare har avslöjat en ny skadlig kod ram som fokuserar på att stöta upp annons intryck att generera falska intäkter för operatörerna.
På onsdag, cybersäkerhet fast Flashpoint sade ramen har varit ansvarig för över en miljard bedrägliga Google Adsense-annonser i de tre senaste månaderna ensam och har också möjlighet att generera falska likes på YouTube-videor och titta på dolda Rycka streaming sessioner.
Google Chrome, Mozilla Firefox, och Yandex webbläsare är alla mål på Windows-maskiner. Infekterade webbläsare är kopplad till ett botnät som används för att generera månatlig inkomst för bedragare.
Se även: Skadlig kod gömd i annonsen bilder kostnad annonsnätverk $1.13 miljarder i år
Offrets webbläsare är första infekterade av skadlig kod kunna utnyttja säkerhetshål eller sårbarheter i programvara. Inom ramen första skede, en ny, skadlig tillägg till webbläsaren läggs till eller skadlig kod kommer att hämta “Patcher” modul som utför denna uppgift på dess vägnar.
Installationsprogrammet kommer att ställa sig upp på Windows-maskiner som en schemalagd aktivitet för att upprätthålla uthållighet och låtsas vara associerad med Windows Update genom en XML-fil som lagras lokalt.
När ad-intryck förlängning läggs i en annan komponent som kallas Finder genomförs som stjäl webbläsare inloggningsuppgifter och cookies. Finder kommer paket denna stulna data och skicka den till förarens kommando-och-kontroll (C2) server.
En separat C2 är också används för att vidarebefordra kommandon till malware om hur ofta bots in för stulen information.
Den skadliga förlängning kommer att dra på ett antal olika resurser beroende på vilken webbläsare som används. Annonser kommer att injiceras i webbläsaren sessioner eller skript som kommer att generera trafik i bakgrunden utan kunskap om offret.
“De flesta av koden i ramen är relaterade till ad bedrägeri och innehåller skript för att söka och ersätta annons-relaterade kod på webbsidor [liksom] – kod för rapportering av klick och andra uppgifter till kommando-och-kontroll infrastruktur,” Flashpoint säger.
CNET: AT&T slå till med process över försäljning av kundernas lokalisering data
Koden inte injicera själv om varje webbplats som ett offer besök och stora svarta listor, inklusive Google-domäner och ryska webbplatser är också genomförts. Ett antal porr webbplatser finns på den svarta listan, som forskarna säger är troligen på grund av att risken för att “kasta bort de intryck.”
Flashpoint säger att det största antalet av installation försök har ägt rum i Ryssland, Ukraina och Kazakstan.
It-företaget har tillhandahållit indikatorer av kompromiss (IOCs) som kan nås här.
TechRepublic: Phishing varning: 80% av företagen saknar DMARC politik för att skydda mot spoofing
I relaterade nyheter denna vecka, den välkända Kinesiska Android-app-utvecklare, CooTek, blev avstängd från Google ad plattformen efter försök att kringgå begränsningarna för ad intrång.
Utvecklaren har skapat en reklam för biblioteket, vilket gjorde att telefoner nära oanvändbar på grund av aggressiva annons visas, och trots att man för att uppdatera sina appar utan bibliotek, CooTek fortsatte att bryta Googles regler om annons framträdande på Android-enheter.
Tidigare och relaterade täckning
Annonser på populära YouTube to MP3 converter service förgiftad med exploit kit, ransomware
Adblock Plus filter kan utnyttjas för att köra skadlig kod i webbläsning
Skadliga annonser kampanj är inriktad på Apple-användare med skadlig kod gömd i bilder
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter