Малевертизирующие атаки недавно были в новостях. Intelligence Microsoft угроза обнаружила кампанию, которую они назвали Storm-0408, которая, возможно, повлияла на почти миллион устройств после того, как пользователи загрузили вредоносное ПО из GitHub. Как только машины были заражены, преступники получили доступ к деталям входа в систему людей, счетам OneDrive и даже криптовалютному кошелькам. Злоусовеченные репозитории GitHub уже удалены, и Microsoft Defender был обновлен, чтобы обнаружить вредоносное ПО, используемое в атаке.
Малевертизация — серьезный бизнес. В отчете за 4 Q424 Gen Digital (компания, которая владеет Norton, Avast, Avira и AVG), сообщается, что «умольчание продолжает служить основным вектором для мошенничества и вредоносных программ, составляющих 41% всех заблокированных атак в этом квартале, что является крупнейшей долю любого типа угрозы».
Но что такое мультивизирует? Во -первых, вы должны понимать, что малвертизирование может относиться к нескольким различным видам киберпреступных атак, а тактика, используемая киберпреступниками, изменилась с течением времени. Это означает, что большая часть информации в Интернете сейчас устарела. Мы рассмотрим, как изменился малвертизирование с 2000 -х и 2010 -х годов и покажем вам, какие шаги вы можете предпринять, чтобы защитить себя.
История злоупотребления
Изменение и развитие-это характер вредоносных программ и кибератак. Хакеры должны адаптироваться, когда меры безопасности ужесточатся. Малевертизация обычно определяется как практика внедрения вредоносных программ в, казалось бы, законную онлайн -рекламу. Тем не менее, он также может относиться к рекламе или сайтам, которые перенаправляют пользователей на вредоносные загрузки. Он также часто в сочетании с практикой, называемой отравлением SEO, где преступники подрывают алгоритмы поисковых систем, чтобы поместить вводящие в заблуждение ссылки в верхней части страниц результатов.
Впервые он был идентифицирован как угроза в 2007 году, когда вредоносный кодекс был включен в баннерную рекламу на законных сайтах и с тех пор прошел несколько итераций. Высокопрофильные атаки в 2010 -х годах использовали встроенные объявления на авторитетных новостных сайтах для установки вымогателей на компьютерах пользователей. В 2016 году веб -сайты, включая New York Times, Newsweek и BBC, непреднамеренно размещали злонамеренную рекламу. Они использовали недостаток в Microsoft Silverlight, ныне несуществующем плагине браузера для воспроизведения видео и анимации, аналогично Flash.
Опасный код может быть скрыт в любом месте рекламы, что затрудняет обнаружение. В некоторых случаях устройство может заразиться, даже если пользователь не нажимал ни на что, технику, известную как загрузка. Поскольку прекращение плагинов, таких как Flash и Silverlight, Drive-By загрузки больше не являются проблемой (до тех пор, возможно, они снова появятся в другом облике). Современные злоупотребления, такие как Storm-0408, требовали сначала нажать на фальшивое объявление.
Как работало злосложение Storm-0408?
Недавняя атака, подробно изложенная Microsoft Wreate Intelligence, затронула пользователей нескольких незаконных веб -сайтов для загрузки фильмов. была встроена в каркасы фильмов, которые, когда он нажимал, перенаправляла людей на другой веб -сайт, притворяясь, что он является веб -сайтом безопасности вредоносной программы или технической поддержки. Этот сайт побудил их загрузить файл из GitHub или другого репозитория кода. После загрузки вредоносное ПО установило скрытое программное обеспечение и отправила украденную информацию, такую как пароли или личные данные, в киберпреступники.
Учитывая, что эти злоупотребления появились только на нескольких конкретных пиратских сайтах, кажется замечательным, что этой конкретной мошенничестве удалось повлиять на почти миллион устройств. Очевидно, что многие люди используют эти сайты, так как инциденты на миллион миллионов инцидентов будут учитывать лишь небольшой процент от тех, кто там. Атака, по словам экспертов по безопасности Microsoft, также повлияла на «корпоративные устройства», которая предполагает, что некоторые люди загружают пиратские фильмы на своих рабочих компьютерах.
Было бы сравнительно легко избежать этой конкретной атаки, и не просто избегая незаконных веб -сайтов для загрузки фильмов. Пользователям нужно было сначала нажать на рекламу, которая появилась в фильме, а затем загрузить неизвестную программу из GitHub. Однако атаки отравления SEO, как правило, немного более тонкие.
Что такое отравление SEO?
Отравление SEO (или SERP)-это практика, которая позиционирует законные URL-адреса, выглядящие на вид на вершину страниц результатов поисковой системы (SERP), как Google. Он стал популярным среди киберпреступников как средство распространения вредоносных программ и вымогателей. Объявления, оплачиваемые киберпреступниками, могут появиться на домашних страницах Google Results. Иногда ключевые слова и URL -адреса преднамеренно сформулированы. Например, belrynok.com может быть изменен на Slasshgear.com или Slashgeer.com или просто иметь другое доменное имя, например, slashgear.io. Эта практика, известная как опечатка, ловит людей, которые печатают только первые несколько букв и не слишком тщательно проверяют результаты поиска. В последнее время было больше примеров, когда URL на странице результатов выглядит законным, но перенаправляет на другой сайт.
Эта проблема широко сообщалась в прошлом году, когда люди, которые хотят загрузить веб -браузер Arc, стали жертвами мошенничества. Googling для «Arc Download», принесенные спонсируемыми результатами, которые выглядели как настоящий веб -сайт ARC.Net/, но на самом деле были злоупотреблениями. Они даже отображали законное URL -адрес на странице результатов Google, но при нажатии он направил пользователей на страницу с другим URL -адресом, который был подготовкой законного сайта. Когда пользователи нажали на ссылку для загрузки, он установит вредоносное ПО. За последние несколько лет было множество подобных мошенничества, когда в результатах поиска Google появились злоумышленники, притворяющиеся загрузки программного обеспечения Amazon.com и программного обеспечения с открытым исходным кодом для Winscp, Putty, Mozilla Thunderbird и Microsoft.
Способы обнаружения и избегания злоупотреблений
Пять и избегание мальтизации зависят от мошенничества, которая используется. В 2010 -х годах, когда злоупотребления могут выполняться без необходимости ничего делать, первое признак того, что вы могли иметь, что вы стали жертвой умоляющей атаки, обнаруживает, что ваш компьютер был взломан. Тем не менее, эти атаки обычно опирались на слабые стороны во Flash и Java и падали из пользы, когда люди перестали использовать плагины. Безопасные фирмы посоветовали удалить эти плагины и запустить защиту других лазейков на основе рекламы.
Компании по обеспечению безопасности, такие как Norton и McAfee, постоянно улучшаются для борьбы с новыми типами атак. Microsoft Defender обновил свой продукт после атак Storm-0408. Обеспечение того, чтобы у вас было программное обеспечение для антивирусного и антимолога и обновление, должно быть ваш первый порт вызовов при защите себя. Вы также можете рассмотреть программное обеспечение для защиты идентификации и использовать VPN. Установка Adblocker также будет защищаться от злонамеренных рекламных объявлений на странице. Эксперты по безопасности регулярно контролируют мошенничество, и, оставаясь на шаг впереди хакеров, невозможно, они реагируют как можно быстрее на новые угрозы и включают свои выводы в свои продукты. Вы также должны убедиться, что вы не делаете никаких классических ошибок кибербезопасности, таких как нажимать ссылки без разбора или не обновить программное обеспечение ваших устройств.
Что вы можете сделать, чтобы защитить себя от отравления SEO?
Бдительность является ключевой здесь, особенно если вы загружаете программное обеспечение на устройство. Прежде чем нажимать кнопку загрузки на веб -сайте или в репозитории, таком как GitHub, вам нужно провести исследование. Если вы ищете название продукта или компании, проверьте свое правописание. PERPOSQUATTES ищут ключевые слова с ошибками, такие как «NVIDA» или «Micosoft». Избегайте использования спонсируемых ссылок на странице результатов поисковой системы. Прокрутите вниз до не спонсируемого контента.
Затем проверьте URL. Мошенники и хакеры регистрируют аналогичные и вероятные доменные имена, чтобы поймать людей. Если вы хотите загрузить программное обеспечение, выясните, какой правильный URL -адрес из Tech Publications (или даже Википедии). Если вы переходите к источнику напрямую, а не используете поисковую систему, вы с большей вероятностью окажетесь в том месте, где вы собираетесь быть. Вы также должны проверить веб -страницу перед нажатием, чтобы загрузить. Плохие актеры часто воссоздают целевую страницу сайта, которую они подделывают, но они не делают гораздо больше, чем это. Если нет возможности нажать на другие страницы, такие как страница продуктов, страница контакта или условия, то это определенно подозрительно.
Наконец, если вы используете MacOS, будьте осторожны с любым сайтом, который говорит вам, чтобы щелкнуть правой кнопкой мыши, чтобы открыть его ссылку. Это трюк, используемый для обхода защиты безопасности. На MacOS Gatekeeper предназначен для предотвращения выполнения ненадежных приложений без согласия пользователя. Однако вы можете вручную переопределить эти настройки безопасности, и это эксплуатируется злонамеренными актерами, чтобы заставить пользователей запустить вредное программное обеспечение.
