Hlavní navigace

Útok, který nečekáte – jak to bylo s nakaženou reklamou v síti Googlu

 Autor: Isifa
Daniel Dočekal 7. 10. 2014

Září přineslo jednu z největších vln zavirované inzerce, která přitom přicházela přímo z inzertní sítě Doubleclick.

Jestli jste ještě nezačali využívat možnosti blokovat internetovou inzerci, tak je možná čas nad tím začít vážně přemýšlet. Kupodivu ani ne tak kvůli všudypřítomným, zaplavujícím a obtěžujícím reklamám, ale kvůli vlastní bezpečnosti. 

V září jsme se dočkali jedné z největších vln zavirované inzerce, která přitom přicházela přímo z inzertní sítě Doubleclick (od Googlu). Samozřejmě prostřednictvím společnosti, jejíž servery byly hacknuty a vedle reklamy také dodávaly útočný kód.

S útočící inzercí jste se mohli setkat třeba na Last.fm, ale také na řadě internetových novin, kde nic podobného neočekáváte. Co víc – případný útok většinou prošel bez povšimnutí. Málokterý antivirový program reagoval včas a adresy zneužívané pro útok se do blokačních seznamů dostávaly se zpožděním. Byť později už bylo jasné, jakým způsobem útok probíhá, a byl i označen a identifikován jako Zemot.

Odhalení nestačí

Malware šířený z hacknutých systémů společnosti Zedo měl celých deset dní na to, aby infikoval blíže nespecifikované a nezjistitelné množství počítačů.  Až 29. září se podařilo najít problém odhalit a vyřešit jej. Není ale jisté, že se něco podobného nebude znovu opakovat, příležitostí pro útočníky je nepočítaně.

Podle Malwarebytes, kde celý incident sledovali a analyzovali, se útočníci chovali opatrně, třeba i v tom, že nakažené reklamy se objevovaly jenom zhruba ve třetině případů, ale není výjimkou, že byl útok přítomen v ještě menší frekvenci – zejména proto, aby nebylo tak snadné jej odhalit a sledovat.

Samotné odhalení podobných aktivit v případě Zedo navíc nestačilo – ačkoliv si společnost už někdy okolo 26. září myslela, že zdroj problému našla a vše vyřešila, o pár dní později se útočící inzerce objevila znovu. Což nakonec vedlo k nalezení zranitelnosti v jedné z online pomůcek, které Zedo poskytovala inzerentům.

Jak Zedo uvádí, zranitelnost umožnila útočníkům nahrát PHP kód, který poté mohl prohledávat systém a získat přístup k některým z interních strojů – něco, co by se v žádném případě nemělo stát, ale přesto to bylo možné.

Riziko, které nečekáte

Na celém případu je problematické hlavně to, že prostřednictvím ovládnutí této společnosti se útočníci dostali k možnosti šířit útočný kód přes reklamní síť Googlu. Tedy v síti, u které nepředpokládáte riziko. 

Historie malwaru a hackerů využívajících reklamní systémy je jinak poměrně bohatá, stačí vzpomenout na vlnu problémů s inzertním software OpenX (viz Za malware na webech Rozhlas.cz, Jablickar.cz či Play.cz je nejspíš OpenX).

Druhá vlna útoku je od Malwarebytes popsána v Google’s DoubleClick ad network abused once again in malvertising attacks – využívá zranitelnosti a útoku přes přehrávač Flash a samozřejmě funguje tak, že uživatel nic nezjistí. Je mu zobrazena reklama a „na pozadí“ dojde k pokusu o napadení systému (prostřednictvím CVE-2014–0515). V tomto případě šlo hlavně o zavedení ransomwaru CryptoWall, který zašifruje soubory na počítači a bude se dožadovat výkupného. 

Našli jste v článku chybu?

7. 10. 2014 11:16

CCblue (neregistrovaný)

No já to zase vidím tak, že bych nevyšel ven a netáhnul za sebou peněženku, klíče a občanku na dvacetimetrovém provázku.

7. 10. 2014 12:44

čtenář (neregistrovaný)

Ty nejdeš s dobou? Dnes to blokování je „in”, když bordel filtruješ přímo na routeru. Pak nevidíš reklamy ani na mobilech k němu připojených.

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

DigiZone.cz: ČT láká na jarní programové tipy

ČT láká na jarní programové tipy

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph