Yahoo、AOLの訪問者が広告のマルウェア、ランサムウェアの影響を受ける

マルバタイジングがYahoo、AOLの訪問者に影響を与え、FlashPackエクスプロイトキットを介してランサムウェアを広める

Yahoo、AOL、Match.com、The Atlanticなどのいくつかの高トラフィックのウェブサイトが、訪問者に悪意のある広告を配信していることが判明しました。実行中のマルウェア「CryptoWall 2.0ランサムウェア」は、脆弱な/パッチが適用されていないAdobe Flashプレーヤーのバージョンを実行している訪問者に影響を与えました。

マルバタイジングキャンペーンを報告したProofpointの研究者によると、このマルウェアはクリックを必要とせずにインストールされ、古いバージョンのFlashプレーヤーの脆弱性を利用して自動的にインストールされるとのことです。

何もクリックすることなく、影響を受けたウェブサイトの訪問者は、CryptoWall 2.0ランサムウェアに密かに感染する可能性があります。Adobe Flashを使用して、マルバタイゼーションは静かにFlashPackエクスプロイトキットから悪意のあるエクスプロイトを「引き込む」ことができます。エクスプロイトはエンドユーザーのブラウザの脆弱性を攻撃し、CryptoWall 2.0をエンドユーザーのコンピュータにインストールします。Proofpointがブログ投稿で述べました。

マルウェアが被害者のコンピュータに感染すると、被害者のハードドライブを暗号化し、被害者のファイルを元の状態に復号化するための身代金をインターネット経由で要求します。

1日あたり300万人以上の訪問者がこのマルバタイジングキャンペーンにさらされており、攻撃者に対して1日あたり約25,000米ドルの収益を生み出しています。

Proofpointブログに記載された、影響を受けたドメインのリストとそのグローバルAlexaランキング。

Yahoo! Finance、Fantasy and Sports (yahoo.com, Global 4, US 4)、
AOL (realestate.aol.com, US 37, Global 119)、
The Atlantic ( theatlantic.com, US 386, Global 1,206)、
9GAG (9gag.com, US 528, Global 201)、
match.com (US 203, Global 631)、
The Sydney Morning Herald (www.smh.com.au, Australia 13, Global 780)、
realestate.com.au (Australia 17, Global 1,656)、
The Age (theage.com.au, Australia 34)、
stuff.co.nz (New Zealand 9)、
societe.com (France 54, Global 1,649)、
Dumpert (dumpert.nl, Netherlands 24)、
Flirchi (flirchi.com, India 106, Global 1,129)、
Weatherzone Australia (weatherzone.com.au, Australia 111)、
Brisbane Times (brisbanebrisbanetimes.com.au, Australia 183)、
RSVP (rsvp.com.au, Australia 351)、
The Canberra Times (canberratimes.com.au, Australia 403)、
Time Out (US 1,145, Global 1,816)、
The Beacon-News (beaconnews.suntimes.com, US 1,178)、
Merca2.0 (merca20.com, Mexico 229)、
clicccar.com (Japan 1,124)、
iPhone for Hong Kong (iphone4hongkong.com, HK 112)、
Noticias Argentinas (noticiasargentinas.com, Argentina 784)

この場合のマルウェア、CryptoWall 2.0ランサムウェアは、被害者のマシンにTorクライアントをダウンロードし、コマンドおよび制御（c&c）サーバーに接続し、500ドル相当のビットコインを身代金として要求します。

Proofpointは、影響を受けたウェブサイト自体は感染していないことを確認しましたが、これらのウェブサイトが動的広告を配信するために依存している広告ネットワークが感染していました。これらの動的広告は、被害者にCryptoWallを配信していました。OpenX、Rubicon Project、Yahoo Ad Exchangeを含む広告ネットワークは、知らずにこれらの悪意のある広告を配信しており、マルバタイジングキャンペーンについて通知され、土曜日にはこれらのネットワークでのマルバタイジングキャンペーンを抑制するための適切な措置が講じられました。