Noll
En cyber-kriminella grupp som kallas ScamClub har kapat över 300 miljoner webbläsaren sessioner under 48 timmar för att omdirigera användare till en vuxen och presentkort bedrägerier, en cyber-bevakningsföretag har avslöjat idag.
Trafiken kapning har skett genom en taktik som kallas skadliga annonser, som består av att placera skadlig kod i annonser på nätet.
I det här fallet, är den kod som används av ScamClub gruppen kapade användarens internet-session från en legitim webbplats där annonsen var att visa, och omdirigeras offer genom en lång kedja av tillfälliga webbplatser, en omdirigering kedja som så småningom hamnade på en webbplats som driver en vuxen-tema plats eller ett presentkort bluff.
Dessa typer av skadliga annonser kampanjer har pågått i flera år, men just denna kampanj stod ut på grund av dess enorma omfattning, experter från it-säkerhetsföretaget Confiant berättade ZDNet idag.
“Den 12 November har vi sett en stor spik i vår telemetri,” Jerome Dang, Confiant grundare och CTO, berättade ZDNet i ett e-postmeddelande.
Bild: Confiant
Dangu säger att hans företag arbetade för att undersöka den enorma skadliga annonser spike och upptäckte ScamClub verksamhet går tillbaka till augusti i år.
“Skillnaden är volymen” Dango berättade för oss. “En av orsakerna till den 12 November spike är att de skulle kunna få tillgång till en mycket stor ad exchange. Tidigare har de bara hade tillgång till ett lägre anseende annonsnätverk, vilket begränsade deras synlighet på premium webbplatser.”
Dangu sade att under 48 timmar under vilka skadliga annonser spike var aktiv, 57 procent av Confiant s kunder påverkas, visar den skadliga annonser kampanj med en enorm räckvidd.
Han sade att den skadliga annonser som har skapats för att se liknande annonser för officiella Android apps (play.google.com), men i verkligheten, de var konstruerade för att kapa iOS USA-baserade användare och omdirigera dem till ScamClub är vuxen och presentkort bedrägerier där bedragare försökt att samla in användarnas personliga och finansiella uppgifter via falsk erbjuder.
Bild: Confiant
Dangu sade att hans företag lyckats blockera runt fem miljoner av uppskattningsvis 300 miljoner skadlig omdirigeringar och som till 99,5 procent av de drabbade användarna var USA-baserade, och 96 procent var iOS-användare.
Den Confiant CTO säger skadliga annonser kampanj avtagit på tisdag, November 13, hög profil ad exchange bort de skadliga annonser. Men ScamClub har fortsatt att driva verksamheten.
“Vi har fortsatt att se aktivitet, att omfattningen av 300k träffar per dag, så att angriparen är fortfarande aktiv men tillbaka till sin vanliga lägre synlighet annonsnätverk” Dangu berättade ZDNet. “Vi förväntar oss att de kommer att fortsätta att vara aktiva under överskådlig framtid.”
ScamClub attacken var stor, jämfört med andra
Att sätta attack i perspektiv, Dangu jämfört med de kampanjer som genomförs av Zirkonium, en annan kriminell grupp engagerande skadliga annonser i kampanjen, en grupp så avancerade att de skapade 28 falska reklambyråer för att dölja sina skadliga kampanjer.
Dangu säger att Zirkonium, så avancerat som det är, var bara ansvarar för runt en miljard skadliga annonsvisningar hela 2017 år, men ScamClub exploderade över 300 miljoner skadliga annonser på bara två dagar.
Varför ScamClub namn och hur fungerar de?
“Vi kallar dem ScamClub på grund av målsidan domäner som de använder (hipstarclub[.]kom och luckstarclub[.]kom),” Dangu berättade i ett e-postmeddelande.
“Målsidan domäner (hosting bedrägerier eller barnförbjudet innehåll) har varit mycket långlivade,” tillade han. “Den här gruppen är riktigt bra på att kringgå och de använder flera på en snabbt föränderlig omdirigering kedjor, men så småningom leder alltid till en av de ‘starclub’ domäner.”
“Det är viktigt att en så hög omfattning kan bestå med bara 2 domäner under en så lång period av tid,” Dangu läggas till.
I en kompletterande rapport som publicerades tidigare idag, Dangu också expanderat på detta ämne, som visar sitt missnöje med säkerhet leverantörer, som har varit sviktande under flera veckor i rapporteringen i koncernens två viktigaste domäner som skadliga.
Han sa att det tog veckor innan de två domänerna har lagts till i Google Säker Bläddring svarta listan, och att även nu, säkerhetsföretag som anges på VirusTotal fortfarande misslyckas med att flagga ScamClub finns två huvudsakliga domäner som skadliga, trots en gigantisk tre månader långa skadliga annonser kampanj som pågår under deras näsor.
Dangu föreslog att en av anledningarna till varför vissa säljare säkerhet och automatiska säkerhet skannrar har misslyckats med att identifiera de två skadlig domäner var för ScamClub används kod i skadliga annonser som upptäcktes när en webbplats som fylls på att analyseras i en virtuell miljö, och när den var laddad i en riktig enhet.
Denna “speciella” kod accepteras de skadliga annonser inte orsaka skadlig omdirigeringar när de analyseras, och därför förhindra att många leverantörer säkerhet från att upptäcka och flaggning “starclub” domäner (vid slutet av dessa omdirigering kedjor) som skadliga.
I fall av ScamClub, det finns en anledning till varför gruppen riktade mobila användare. Medan ad blockerare är ofta installerade med desktop-baserade webbläsare, de är inte så vanligt med mobila webbläsare, därav anledningen till varför denna kampanj riktad iOS-användare. Ad-blockerare för både Android och iOS har varit tillgängliga för nedladdning för år, från olika bolag, men de flesta mobila användarna har ännu inte vana vid att installera en på sina smartphones som de gör på sina datorer.
Relaterade förmåner:
Hacker bakdörrar populära JavaScript-bibliotek för att stjäla Bitcoin fonderNytt Linux crypto-miner stjäl ditt root-lösenord och inaktiverar ditt antivirus4 sätt att minska dina chanser att bli fångad av skadliga annonser TechRepublicSkadlig kod gömd i annonsen bilder kostnad annonsnätverk $1.13 miljarder detta årHur Chrome annonsblockering redan har förändrat webben CNETEmotet skadlig kod körs på en dual infrastrukturen och undvika driftstopp och nedtagningarMagecart grupp dråpligt saboterar konkurrentAndra WordPress-hackande kampanjen pågår
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0