先月、あるマルバタイジング・キャンペーンについて投稿した。ユーザをAnglerエクスプロイトキットへと向かわせるマルウェアの攻撃に対し、たとえ非ブラウザのアプリケーション上であっても、広告プラットフォームは影響を受けやすいことを明らかにした。

 さらに別のマルバタイジング・キャンペーンに先週気付いたが、こちらはMagnitudeエクスプロイトキットにユーザを押し進める。

Magnitude EK Hits 2016.03.04

Magnitude URLs

 我々は以下の広告プラットフォームが、Magnitudeエクスプロイトキットへのリダイレクトに用いられていることに気付いた。

www.terraclicks.com 
bestadbid.com
onclickads.net
popped.biz
click2.danarimedia.com
onclickads.net
ads.adamoads.com

 その広告プラットフォームの1つであるclick2.danarimedia.comについて、興味深い点を観察した。「潜在的に迷惑(potentially unwanted)」だと考えられているConduit Toolbarsの特定のディストリビューションでも用いられているのだ。Conduit Toolbarsは一般に無料のソフトウェアとバンドルされてやってきて、ブラウザ設定の変更を強要する。

conduit_properties

conduit_strings_text

 同広告プラットフォームから当社のアップストリームを経てMagnitude EKへと差し向けられる様子を以下に示す。

magnitudeek_redirection_20160304

 これは、我々がPUA(Potentially Unwanted Application、潜在的な迷惑アプリケーション)のパワーを過小評価すべきでないことを示す。仮にあるプログラムが潜在的に迷惑なものとして始まったとして、攻撃者がユーザのマシンに他の脅威を配信するのにそうしたプログラムを活用するはずがない、なんていうことはないからだ。ユーザはエクスプロイトキットへとリダイレクトされ、最終的にマルウェア、つまりこちらの特定のエクスプロイトキットCryptoWallランサムウェアへの感染に繋がる。

cryptowall

SHA1: b9bf3131acae056144b070c21ed45623ce979eb3

 当社のユーザはこれらの脅威から保護されており、以下のように検知する。

  • Exploit:JS/MagnitudeEK.A
  • Exploit:SWF/Salama.H
  • Trojan:W32/Crowti.A!DeepGuard
  • Application:W32/Conduit.B