最近のマルバタイジングのキャンペーンが示すのは、ブラウザに限らず広告を表示するプラットフォームというものは攻撃に対する免疫がないということだ。
広告を表示する、ありふれた非ブラウザのアプリケーションの例に、Skypeがある。以下のような画像は、熱心なSkypeユーザにはおなじみのものだろう。
Skypeの広告
昨夜までは、これはたいして煩わしいものではなかった。AppNexus(adnxs.com)という広告プラットフォーム経由でのマルバタイジング・キャンペーンによる、異常なピークを当社のグラフ上で目にするまでは。
当社が観測した、感染させるプラットフォームにはSkypeが含まれていた。ブラウザの外部にあるプラットフォーム上に広告を表示したとしても、ブラウザからアクセスできないことでユーザが影響を受けなくなるわけではないのは興味深い。
http://ams1.ib.adnxs.com/if?e=wqT_3QLNBPBCRA[...]uAQA&s=1d86c6[...]&referrer=skype.com led to http://dwuplaszczyznowosc.checkcashingbridgeport.com/boards/index.php http://ams1.ib.adnxs.com/if?e=wqT_3QLVBPQAAU[...]uAQA&s=a9adea[...]&referrer=skype.com led to http://staraly1savage.bendovr.com/forums/viewtopic.php
ただSkypeを起点に感染が始まったのは、これが初めてではない。以前にも、フォーラムやセキュリティニュースでSkypeのシナリオについて報告がなされている。
今回のキャンペーンでは、最終的にエクスプロイトキットAnglerにリダイレクトされる。
もちろん普通のブラウザでのアクセスもあるが、これはこの攻撃がSkypeユーザを標的にしているわけではないことを意味する。ブラウザを使用するユーザのために、当社で観察をした感染経路の例を以下に挙げる。
- ユーザがebay.itを訪れる
- ebay.itは、ad-emea.doubleclick.netから広告を取ってくる
- doubleclick.netは、fra1.ib.adnxs.comから広告を取ってくる
- adnxs.comは、Anglerエクスプロイトキットのランディングページであるeleison.virtualrealitybros.comへリダイレクトする
- Anglerエクスプロイトキットが、TeslaCryptというランサムウェアをダウンロード、インストールする
TeslaCryptに感染したマシンには、以下のメッセージが表示される。
adnxs.comへリダイレクトする人気のWebサイトとしては他にゲーム関連サイト(wowhead.com、gsn.com、zam.com、wikia.com)、ニュースサイト(dailymail.co.uk)、msn.comのようなインターネットポータルなどがある。
今回のキャンペーンは非常に速やかに終結したように見える。キャンペーンが活発なときに良かったことと言えば、当社のユーザはこの脅威から保護されていた点である。当社ではExploit:JS/AnglerEK.Dとして、Anglerを検知している。
