先月、あるマルバタイジング・キャンペーンについて投稿した。ユーザをAnglerエクスプロイトキットへと向かわせるマルウェアの攻撃に対し、たとえ非ブラウザのアプリケーション上であっても、広告プラットフォームは影響を受けやすいことを明らかにした。
さらに別のマルバタイジング・キャンペーンに先週気付いたが、こちらはMagnitudeエクスプロイトキットにユーザを押し進める。
我々は以下の広告プラットフォームが、Magnitudeエクスプロイトキットへのリダイレクトに用いられていることに気付いた。
www.terraclicks.com bestadbid.com onclickads.net popped.biz click2.danarimedia.com onclickads.net ads.adamoads.com
その広告プラットフォームの1つであるclick2.danarimedia.comについて、興味深い点を観察した。「潜在的に迷惑(potentially unwanted)」だと考えられているConduit Toolbarsの特定のディストリビューションでも用いられているのだ。Conduit Toolbarsは一般に無料のソフトウェアとバンドルされてやってきて、ブラウザ設定の変更を強要する。
同広告プラットフォームから当社のアップストリームを経てMagnitude EKへと差し向けられる様子を以下に示す。
これは、我々がPUA(Potentially Unwanted Application、潜在的な迷惑アプリケーション)のパワーを過小評価すべきでないことを示す。仮にあるプログラムが潜在的に迷惑なものとして始まったとして、攻撃者がユーザのマシンに他の脅威を配信するのにそうしたプログラムを活用するはずがない、なんていうことはないからだ。ユーザはエクスプロイトキットへとリダイレクトされ、最終的にマルウェア、つまりこちらの特定のエクスプロイトキットCryptoWallランサムウェアへの感染に繋がる。
SHA1: b9bf3131acae056144b070c21ed45623ce979eb3
当社のユーザはこれらの脅威から保護されており、以下のように検知する。
- Exploit:JS/MagnitudeEK.A
- Exploit:SWF/Salama.H
- Trojan:W32/Crowti.A!DeepGuard
- Application:W32/Conduit.B