Вірус, що заражає роутери і додає рекламні банери

Дослідники з Ara Labs виявили схему, за якою вірус заражав роутери і через код Google Analytics додавав на чужі сайти рекламні банери. Про це йдеться в дослідженні, опублікованому 25 березня.

Розміщенням реклами (в тому числі порно-банерів) займалася російська рекламна мережа PopUnder. Швидше за все, описані Ara Labs спостереження безпосередньо пов’язані з "патріотичної" заглушкою "яндекс.браузер": TJ з’ясував, хто міг бути причетний до її появи.

 Як розповіли дослідники з Ara Labs, для атаки зловмисники використовували уразливості в старих роутерах, широко використовуються в будинках і офісах. Як пояснили аналітики, в такому способі проникнення немає нічого нового, і про нього розповідали провідні фірми по боротьбі з кіберзлочинністю, проте через нестачу освітлення теми люди продовжують використовувати небезпечні пристрої.

 Суть атаки полягає в підміні DNS-адреси. Оскільки сучасні операційні системи використовують за замовчуванням ту адресу, яку їм віддає роутер, зловмисники міняли його через вразливість і завдяки цьому могли по-іншому відображати звичні сайти. Вони не підміняли вміст сторінок цілком (це вимагало б величезного обсягу робіт), а впроваджували свій код через скрипт статистики Google Analytics, який вже встановлений на більшості популярних ресурсів в інтернеті.

 Коли жертва заходила на сайт з Google Analytics через мережу з зараженим роутером, скрипт статистики вставляв на сторінку код JavaScript, в якому відображався рекламний банер. Багато користувачів нічого не підозрювали, тому що для відвідуваних ними сайтів реклама була звичайною справою.

 За даними Ara Labs, вбудовування банерів ретельно маскувався в коді, проте перевірка показала, що всі вони використовували SSL-сертифікати, підписані одним сайтом. Мова йде про російську рекламної мережі PopUnder, яка активно просуває свої послуги в спеціалізованих спільнотах і на конференціях, але має клієнтів по всьому світу. На сайті PopUnder йдеться, що в її рекламної мережі знаходиться більше 1,2 мільйона ресурсів.

 У звіті Ara Labs ані слова, як саме вірус заражає роутери і які моделі схильні уразливості. Фахівці рекомендують оновлювати прошивки старих пристроїв до максимально нової, проте деякі з моделей не випускали нових версій ПЗ довгі роки, тому вимагають повної заміни.

 По всій видимості, останнім часом схема зараження роутерів і підміни DNS для подальшого вбудовування реклами стала особливо актуальною серед російських фахівців з "чорному" просуванню. Аналогічний спосіб використовувався для демонстрації заглушки з вимогою перейти з іноземних браузерів на вітчизняний "яндекс.браузер" або на UC Browser, про ситуацію навколо якої TJ писав ще 21 березня.

 Тоді мова йшла про вбудовування реклами не тільки через код Google Analytics, але і через популярну в рунеті "Яндекс.Метрику". Як розповіли TJ в "Яндексі", В даний момент компанія переводить своїх клієнтів на скрипт статистики з використанням протоколу https, в якому не спостерігається вбудовування реклами. Пізніше компанія збирається опублікувати результати проведеної перевірки.

 Як з’ясував технічний директор "комітету" Ілля Чекальський, у випадку з "яндекс.браузер" заглушка відображалася не скрізь, а тільки на списку певних сайтів: наприклад, на ozon.ru, ivi.ru, stoloto.ru та інших. Потім зайшов на них користувача переадресовувати на системи партнерського маркетингу на кшталт gdeslon.ru або через реферальне посилання – за це зловмисники, швидше за все, отримували відрахування.

 Крім цього, на проглядається сайт додавався скрипт з адресою syndicationan.link/js – сторінка за цією адресою генерується за допомогою PHP-скрипта. Це означає, що зловмисники могли отримувати різні результати в залежності від даних користувача – наприклад, його IP-адреси або браузера. Такий скрипт міг викрадати його особисту інформацію, відстежувати переміщення і переадресовувати на інші сторінки.

 Зловмисники, вставляти плашку "яндекс.браузер" або UC Browser, також використовували вбудований код статистики Liveinternet по сайту syndication.link, імовірно для відстеження кількості зламаних користувачів. Статистика доступна тільки по паролю, і гендиректор Liveinternet Герман Клименко відмовився розкривати TJ порядок подвергнувшихся небезпеки користувачів.

 Як з’ясував TJ, інформація про осіб, на які зареєстровані домени syndication.link і syndicationan.link, знаходиться у відкритому доступі. Якщо другий домен веде на Зеніна Олену, яка, судячи з усього, займається мистецтвом і навряд чи має відношення до інтернет-маркетингу, то в контактній інформації syndication.link вказана мешканка Архангельська Катерина Цвелева і електронна пошта якогось 39-річного Максима Максимова з Нижнього Новгорода .

Пошук по юзернейм Максимова і його електронній пошті дозволяє дізнатися, що той цікавиться темою заробітку в інтернеті на сайті searchengines.ru і консультує інших з купівлі трафіку. Цвелева заявила TJ, що не знайома з Максимовим і ніколи не втрачала свій паспорт, а в інформації про домен вказані невірні дані про її місце проживання.

 У 2014 році фахівці з кібербезпеки з Team-Cymru вже публікували дослідження по зараженню домашніх і офісних роутерів, розглянувши два випадки: в кінці 2013 року і в січні 2014 го. У першому випадку більшість власників заражених роутерів перебували в Україні і Польщі, у другому лідирували Індія, Італія і В’єтнам.

 У січні 2014 го Team-Cymru змогла приблизно позначити масштаб зараження, зареєструвавши 300 тисяч унікальних IP, які зверталися до DNS-серверів зловмисників. Серед заражених роутерів називалися моделі марок D-Link, Micronet, Tenda, TP-Link, а також пристрої на базі ПО Zyxel.

Ссылка на основную публикацию