Pengganti iklan, harapan terakhir kami terhadap serangan kampanye malapetaka, tampaknya telah turun, seperti hari ini, Malwarebytes menerbitkan penelitian baru yang merinci kampanye malapetaka yang berhasil melewati hambatan iklan untuk mengirimkan muatan berbahaya mereka.
Dikutip dari bleepingcomputer,
Kampanye malvertising ini diberi nama RoughTedberdasarkan domain berbahaya awal di mana ditemukan kembali pada bulan Maret 2017, namun Jérôme Segura, peneliti keamanan Malwarebytes yang menemukannya, mengatakan bahwa ada petunjuk untuk menunjukkan bahwa RoughTed telah aktif selama lebih dari setahun .
Kampanye ini sangat kompleks dan dirancang dengan baik (dari sudut pandang penjahat), karena memanfaatkan banyak trik perdagangan, yang sebagian besar memungkinkannya tumbuh tanpa terdeteksi dalam bayang-bayang untuk waktu yang lama.
Kata yang menggambarkan RoughTed yang terbaik adalah “keanekaragaman.” Operator dari kampanye malvertising ini tidak hanya menampilkan lalu lintas dari berbagai jenis sumber, namun juga mencakup teknik sidik jari pengguna yang berbeda, dan muatan berbahaya yang sangat berbeda.
Adf.ly, ExtraTorrent, Openloud mengirimkan iklan berbahaya
Lalu lintas ke kampanye malvertising ini berasal dari iklan yang ditampilkan di ribuan situs.Beberapa di antaranya adalah situs pribadi kecil, sementara yang lainnya ada di Alexa Top 500. Malwarebytes mengatakan bahwa mereka mendeteksi iklan yang tercemar RoughTed di situs seperti Adf.ly, ExtraTorrent (sekarang sudah tidak berfungsi), Openloud, dan Ouo.io, hanya untuk memberi nama Beberapa yang lebih besar.
Menurut Segura, domain RoughTed mengumpulkan lebih dari setengah miliar kunjungan dalam tiga bulan terakhir sejak peneliti mulai melacak kampanye tersebut.
Bekerja sama dengan Sucuri, Segura mengatakan bahwa mereka juga mengidentifikasi iklan jahat yang dimasukkan ke dalam kode sumber situs yang lebih kecil. Jika kode iklan jahat ditempatkan di sana oleh pemilik situs atau setelah situs diretas tidak diketahui.
RoughTed menggunakan sidik jari agresif
Kode berbahaya yang ada dalam iklan nakal ini akan memuat berbagai skrip di latar belakang peramban, yang mengalihkan pengguna melalui puluhan URL tempat berbagai pemeriksaan dilakukan.
“Berikut adalah beberapa sidik jari agresif yang menurut saya kebanyakan jaringan iklan tidak akan melakukannya karena sangat privasi,” kata Segura kepadaBleeping Computer dalam percakapan pribadi hari ini, menggambarkan skrip RoughTed.
Ini termasuk pemeriksaan jenis browser, sistem operasi, pengaturan bahasa, dan informasi geolokasi. Segura mengatakan beberapa skrip ini telah dirancang khusus untuk mendeteksi kapan pengguna memalsukan agen pengguna mereka.
Skrip ini berkisar dari penggunaan teknik sidik jari berbasis HTML5 standar sekarang menjadi tip yang lebih baru untuk memeriksa daftar font yang terinstal – yang berbeda berdasarkan OS.
RoughTed bypasses ad blockers
Meskipun demikian, skrip yang paling eye-catching adalah yang mendeteksi apakah pengguna menggunakan ekstensi pemblokir iklan dan menemukan cara untuk melewati sistem ini.
Pengguna beberapa penghambat iklan seperti Adblock Plus , asal uBlock , atau AdGuard , baru-baru ini mengeluh tentang iklan yang menerobos penghapus iklan mereka.
Segura mengaitkan hal ini dengan RoughTed, namun pengiklan lain juga menggunakan teknik penghindaran iklan blocker.
“[O] menggunakan kode yang sama juga, tapi RoughTed ada dalam skala yang jauh lebih besar,” ahli Malwarebytes mengatakan kepada Bleeping Computer .
Berdasarkan pernyataan Segura, kami dapat mengatakan bahwa sementara pengelola teknologi ad-blocker sibuk memperdebatkan pengiklan dan penerbit online, para pengiklan malapetaka telah merangkak di belakang mereka dan mengakali beberapa filter pemblokir iklan mereka, setidaknya untuk saat ini.
Sebagai catatan penutup, menunjukkan bahwa RoughTed bukanlah kampanye malapetaka Anda yang run-of-the-mill, para operatornya tidak terpaku pada pengiriman hanya jenis muatan tertentu kepada korban mereka. Menurut Segura, RoughTed telah mengirim pengguna tanpa disadari untuk:
➠ kit eksploitasi yang berbeda (RIG EG, Magnitude) ➠
halaman penipuan dukungan teknis➠ halaman
download untuk halaman web Mac adware
ware untuk halaman Windows PUP
➠ ekstensi Chrome nakal ➠
halaman iTues dan App Store – bagian dari skema bayar per-instal
➠ survei online yang menyebalkan
halaman penipuan dukungan teknis➠ halaman
download untuk halaman web Mac adware
ware untuk halaman Windows PUP
➠ ekstensi Chrome nakal ➠
halaman iTues dan App Store – bagian dari skema bayar per-instal
➠ survei online yang menyebalkan
IOC dan rincian lainnya tentang kampanye tersebut tersedia dalam laporan RoughTed Malwarebytes .
#adblock #malware
#adf.ly
