야후, AOL 방문자들이 광고의 악성코드와 랜섬웨어에 영향을 받음

악성 광고가 야후, AOL 방문자에게 영향을 미치고 FlashPack 익스플로잇 킷을 통해 랜섬웨어를 확산시킴

야후, AOL, Match.com 및 The Atlantic을 포함한 여러 고트래픽 웹사이트가 방문자에게 악성 광고를 제공하는 것으로 나타났습니다. 작동 중인 악성코드 “CryptoWall 2.0 랜섬웨어”는 취약한/패치되지 않은 버전의 Adobe Flash 플레이어를 실행하는 방문자에게 영향을 미쳤습니다.

악성 광고 캠페인을 보고한 Proofpoint의 연구자들은 이 악성코드가 설치되기 위해 클릭조차 필요하지 않다고 밝혔습니다. 이는 오래된 버전의 Flash 플레이어의 취약점을 이용해 자동으로 설치됩니다.

어떠한 클릭도 필요 없이, 영향을 받은 웹사이트의 방문자는 CryptoWall 2.0 랜섬웨어에 은밀하게 감염될 수 있습니다. Adobe Flash를 사용하여, 악성 광고는 FlashPack 익스플로잇 킷에서 악성 익스플로잇을 조용히 “끌어옵니다”. 이 익스플로잇은 최종 사용자의 브라우저의 취약점을 공격하고 CryptoWall 2.0을 최종 사용자의 컴퓨터에 설치합니다. Proofpoint는 블로그 게시물에서 이렇게 말했습니다.

악성코드가 피해자의 컴퓨터에 감염되면 피해자의 하드 드라이브를 암호화하고 피해자의 파일을 원래 상태로 복원하기 위해 인터넷을 통해 랜섬을 요구합니다.

하루에 300만 명 이상의 방문자가 이 악성 광고 캠페인에 잠재적으로 노출되었으며, 이는 공격자에게 하루 약 25,000달러의 수익을 발생시켰습니다.

Proofpoint 블로그에 제공된 영향을 받은 도메인 목록과 그들의 글로벌 알렉사 순위.

Yahoo! Finance, Fantasy and Sports (yahoo.com, 글로벌 4, 미국 4),
AOL (realestate.aol.com, 미국 37, 글로벌 119),
The Atlantic (theatlantic.com, 미국 386, 글로벌 1,206),
9GAG (9gag.com, 미국 528, 글로벌 201),
match.com (미국 203, 글로벌 631),
The Sydney Morning Herald (www.smh.com.au, 호주 13, 글로벌 780),
realestate.com.au (호주 17, 글로벌 1,656),
The Age (theage.com.au, 호주 34),
stuff.co.nz (뉴질랜드 9),
societe.com (프랑스 54, 글로벌 1,649),
Dumpert (dumpert.nl, 네덜란드 24),
Flirchi (flirchi.com, 인도 106, 글로벌 1,129),
Weatherzone Australia (weatherzone.com.au, 호주 111),
Brisbane Times (brisbanebrisbanetimes.com.au, 호주 183),
RSVP (rsvp.com.au, 호주 351),
The Canberra Times (canberratimes.com.au, 호주 403),
Time Out (미국 1,145, 글로벌 1,816),
The Beacon-News (beaconnews.suntimes.com, 미국 1,178),
Merca2.0 (merca20.com, 멕시코 229),
clicccar.com (일본 1,124),
iPhone for Hong Kong (iphone4hongkong.com, 홍콩 112),
Noticias Argentinas (noticiasargentinas.com, 아르헨티나 784)

이 경우의 악성코드인 CryptoWall 2.0 랜섬웨어는 피해자의 기계에 Tor 클라이언트를 다운로드하여 이를 사용해 명령 및 제어(c&c) 서버에 연결하고 500달러 상당의 비트코인을 랜섬으로 요구합니다.

Proofpoint는 영향을 받은 웹사이트 자체가 감염되지 않았으며, 오히려 이러한 웹사이트가 동적 광고를 제공하기 위해 의존하는 광고 네트워크가 감염되었다고 판단했습니다. 이러한 동적 광고는 피해자에게 CryptoWall을 제공하고 있었습니다. OpenX, Rubicon Project 및 Yahoo Ad Exchange를 포함한 광고 네트워크는 이러한 악성 광고를 무의식적으로 제공하고 있었으며, 토요일 기준으로 이들 네트워크에서 악성 광고 캠페인을 억제하기 위한 적절한 조치가 취해졌습니다.