O ερευνητής ασφαλείας στην Malwarebytes Labs, Jerome Segura, εντόπισε το διαφημιστικό network DirectRev, φιλοξενεί κακόβουλη διαφήμιση απευθείας στον server της, που με τη σειρά του οδηγεί σε exploit του Flash. Αποφεύγει επιλεκτικά τα VPNs και άλλες aggregation technologies και στοχεύει στις γνήσιες διευθύνσεις IP. Το playload είναι το Kovter, ένα ad fraud Trojan.
H διαφήμιση είναι παγιδευμένη με τέτοιο τρόπο, ώστε να φορτώνει κρυφά, μια εξωτερική διεύθυνση URL κάθε φορά που κάποιος επισκέπτεται το site – μια πρακτική καθολικά μη αποδεκτή στην online διαφήμιση.
“Είναι ξεκάθαρο το πώς ο επιτιθέμενος δημιούργησε την URL κάνοντας χρήση μιας πολύ βασικής έκφρασης για να παρακάμψει τους σαρωτές ασφαλείας που εντοπίζουν URL patterns.” αναφέρει ο Segura.
Όπως και στις περισσότερες περιπτώσεις malvertising, o κώδικας του exploit στέλνεται μόνο μια φορά σε κάθε διεύθυνση IP και πραγματοποιούνται κάποιοι ελέγχοι geolocation ώστε να επιβεβαιωθεί πως ο χρήστης είναι γνήσιος και δεν κρύβεται πίσω από κάποιο VPN.
Δεν είναι η πρώτη φορά που ένα Flash exploit παραδίδεται χωρίς την χρήση ΕΚ, αλλά παραμένει κάπως σπάνια περίπτωση, όπως επισημαίνει ο Segura.
“Η τεχνική αυτή εξασφαλίζει μεγαλύτερη κάλυψη για τον επιτιθέμενο καθώς γίνεται δύσκολα ανιχνεύσιμη από τους σαρωτές αφού δεν υπάρχει landing page ή άλλα στοιχεία που τυπικά συνοδεύουν ένα EK.” εξηγεί.
Η Malwarebytes, ανέφερε πως μέχρι τώρα έχουν επηρεαστεί μόνο λίγα websites. Η DirectRev δήλωσε πως έχει κλείσει αυτή την συγκεκριμένη campaign και πως θα ξεφορτωθεί την κακόβουλη διαφήμιση από το CDN της.
Τέλος, ένα σημαντικό στοιχείο, η εταιρεία διαπίστωσε πως όλο και περισσότεροι χρήστες πέφτουν θύματα τέτοιων κακόβουλων διαφημίσεων καθώς δεν έχουν ενημερώσει με τις διορθωμένες εκδόσεις τα μηχανήματά τους.