Yahoo, AOL посетители пострадали от вредоносного ПО в рекламе, программ-вымогателей в действии

Вредоносная реклама затрагивает посетителей Yahoo, AOL, распространяет программ-вымогатель через набор эксплойтов FlashPack

Несколько высокопосещаемых веб-сайтов, включая Yahoo, AOL, Match.com и The Atlantic, были обнаружены, распространяющими вредоносные объявления для своих посетителей. Вредоносное ПО в действии “CryptoWall 2.0 ransomware” затронуло посетителей, использующих уязвимую/необновленную версию Adobe Flash Player.

Исследователи из Proofpoint, которые сообщили о кампании вредоносной рекламы, сказали, что вредоносное ПО даже не требует клика для установки, оно автоматически устанавливается с использованием уязвимости в старых версиях Flash Player.

Не нажимая на что-либо, посетители затронутых веб-сайтов могут быть незаметно инфицированы программой CryptoWall 2.0. Используя Adobe Flash, вредоносные объявления тихо “загружают” вредоносные эксплойты из набора эксплойтов FlashPack. Эксплойты атакуют уязвимость в браузере конечного пользователя и устанавливают CryptoWall 2.0 на компьютеры конечных пользователей, - говорится в блоге Proofpoint.

Как только вредоносное ПО инфицирует компьютер жертвы, оно шифрует жесткий диск жертвы и требует выкуп, который должен быть передан через интернет в обмен на расшифровку файлов жертвы в их исходное состояние.

Более 3 миллионов посетителей в день потенциально подверглись воздействию этой кампании вредоносной рекламы, которая принесла примерно 25 000 долларов США в день для злоумышленников.

Список доменов, которые были затронуты, вместе с их глобальными рейтингами Alexa, как указано в блоге Proofpoint.

Yahoo! Finance, Fantasy and Sports (yahoo.com, Global 4, US 4),
AOL (realestate.aol.com, US 37, Global 119),
The Atlantic (theatlantic.com, US 386, Global 1,206),
9GAG (9gag.com, US 528, Global 201,),
match.com (US 203, Global 631),
The Sydney Morning Herald (www.smh.com.au, Australia 13, Global 780),
realestate.com.au (Australia 17, Global 1,656),
The Age (theage.com.au, Australia 34),
stuff.co.nz (New Zealand 9),
societe.com (France 54, Global 1,649),
Dumpert (dumpert.nl, Netherlands 24),
Flirchi (flirchi.com, India 106, Global 1,129),
Weatherzone Australia (weatherzone.com.au, Australia 111),
Brisbane Times (brisbanebrisbanetimes.com.au, Australia 183),
RSVP (rsvp.com.au, Australia 351),
The Canberra Times (canberratimes.com.au, Australia 403),
Time Out (US 1,145, Global 1,816),
The Beacon-News (beaconnews.suntimes.com, US 1,178),
Merca2.0 (merca20.com, Mexico 229),
clicccar.com (Japan 1,124),
iPhone for Hong Kong (iphone4hongkong.com, HK 112),
Noticias Argentinas (noticiasargentinas.com, Argentina 784)

Вредоносное ПО в данном случае, Cryptowall 2.0 Ransomware, загружает клиент Tor на машину жертвы, который он использует для подключения к своему серверу управления и контроля (c&c) и требует 500 долларов США в эквиваленте Bitcoin в качестве выкупа.

*Proofpoint установил, что затронутые веб-сайты сами по себе не были инфицированы, а рекламная сеть, на которую эти веб-сайты полагаются для размещения динамической рекламы. Эти динамические объявления, в свою очередь, распространяли CryptoWall среди жертв. Рекламные сети, включая OpenX, Rubicon Project и Yahoo Ad Exchange, которые невольно размещали эти вредоносные объявления, были проинформированы о кампаниях вредоносной рекламы, и по состоянию на субботу были предприняты соответствующие меры для сдерживания кампании вредоносной рекламы в этих сетях.