Jump to content

Исследователи обнаружили вирус, заражающий роутеры и добавляющий рекламные баннеры на внешние сайты


Recommended Posts

Одна из причин проседания дохода вебмастеров. И сколько сайтов могло попасть под фильтры от такой рекламы?

Исследователи из Ara Labs обнаружили схему, по которой вирус заражал роутеры и через код Google Analytics добавлял на чужие сайты рекламные баннеры. Об этом говорится в исследовании, опубликованном 25 марта.

Размещением рекламы (в том числе порно-баннеров) занималась российская рекламная сеть PopUnder. Скорее всего, описанные Ara Labs наблюдения непосредственно связаны с «патриотической» заглушкой «Яндекс.Браузера»: TJ выяснил, кто мог быть причастен к её появлению.

 

Как рассказали исследователи из Ara Labs, для атаки злоумышленники использовали уязвимости в старых роутерах, широко использующихся в домах и офисах. Как пояснили аналитики, в таком способе проникновения нет ничего нового, и о нём рассказывали ведущие фирмы по борьбе с киберпреступностью, однако из-за недостатка освещения темы люди продолжают использовать небезопасные устройства.

Суть атаки заключается в подмене DNS-адреса. Поскольку современные операционные системы используют по умолчанию тот адрес, который им отдаёт роутер, злоумышленники меняли его через уязвимость и благодаря этому могли по-другому отображать привычные сайты. Они не подменяли содержимое страниц целиком (это требовало бы огромного объёма работ), а внедряли свой код через скрипт статистики Google Analytics, который уже установлен на большинстве популярных ресурсов в интернете.

 

Когда жертва заходила на сайт с Google Analytics через сеть с заражённым роутером, скрипт статистики вставлял на страницу код JavaScript, в котором отображался рекламный баннер. Многие пользователи ничего не подозревали, потому что для посещаемых ими сайтов реклама была обычным делом.

 

По данным Ara Labs, встраивание баннеров тщательно маскировалось в коде, однако проверка показала, что все они использовали SSL-сертификаты, подписанные одним сайтом. Речь идёт о российской рекламной сети PopUnder, которая активно продвигает свои услуги в специализированных сообществах и на конференциях, но имеет клиентов по всему миру. На сайте PopUnder говорится, что в её рекламной сети находится более 1,2 миллиона ресурсов.

6f6b995f54d4d1.jpg

В отчёте Ara Labs не говорится, как именно вирус заражает роутеры и какие модели подвержены уязвимости. Специалисты рекомендуют обновлять прошивки старых устройств до максимально новой, однако некоторые из моделей не выпускали новых версий ПО долгие годы, поэтому требуют полной замены.

 

По всей видимости, в последнее время схема заражения роутеров и подмены DNS для последующего встраивания рекламы стала особенно актуальной среди российских специалистов по «чёрному» продвижению. Аналогичный способ использовался для демонстрации заглушки с требованием перейти с иностранных браузеров на отечественный «Яндекс.Браузер» или на UC Browser, о ситуации вокруг которой TJ писал ещё 21 марта.

 

Тогда речь шла о встраивании рекламы не только через код Google Analytics, но и через популярную в рунете «Яндекс.Метрику». Как рассказали TJ в «Яндексе», в данный момент компания переводит своих клиентов на скрипт статистики с использованием протокола https, в котором не наблюдается встраивания рекламы. Позднее компания собирается опубликовать результаты проведённой проверки.

 

Как выяснил технический директор «Комитета» Илья Чекальский, в случае с «Яндекс.Браузером» заглушка отображалась не везде, а только на списке определённых сайтов: например, на ozon.ru, ivi.ru, stoloto.ru и других. Затем зашедшего на них пользователя переадресовывало на системы партнёрского маркетинга вроде gdeslon.ru или через реферальную ссылку — за это злоумышленники, скорее всего, получали отчисления.

 

Кроме этого, на просматриваемую страницу добавлялся PHP-скрипт с адресом syndicationan.link/js, который мог выполнять разные функции в зависимости от данных пользователя — например, его IP-адреса или браузера. Такой скрипт мог похищать его личную информацию, отслеживать перемещения и переадресовывать на другие страницы.

 

Злоумышленники, вставлявшие плашку «Яндекс.Браузера» или UC Browser, также использовали встроенный код статистики Liveinternet по сайту syndication.link, предположительно для отслеживания количества взломанных пользователей. Статистика доступна только по паролю, и гендиректор Liveinternet Герман Клименко отказался раскрывать TJ порядок подвергнувшихся опасности пользователей.

 

Как выяснил TJ, информация о лицах, на которые зарегистрированы домены syndication.link и syndicationan.link, находится в открытом доступе. Если второй домен ведёт на Зенину Елену, которая, судя по всему, занимается искусством и вряд ли имеет отношение к интернет-маркетингу, то в контактной информации syndication.link указана жительница Архангельска Екатерина Цвелева и электронная почта некоего 39-летнего Максима Максимова из Нижнего Новгорода.

 

Поиск по юзернейму Максимова и его электронной почте позволяет узнать, что тот интересуется темой заработка в интернете на сайте searchengines.ru и консультирует других по покупке трафика. Цвелева заявила TJ, что не знакома с Максимовым и никогда не теряла свой паспорт, а в информации о домене указаны неверные данные о её месте проживания.

 

В 2014 году специалисты по кибербезопасности из Team-Cymru уже публиковали исследование по заражению домашних и офисных роутеров, рассмотрев два случая: в конце 2013 года и в январе 2014-го. В первом случае большинство владельцев заражённых роутеров находились в России и Польше, во втором лидировали Индия, Италия и Вьетнам.

 

В январе 2014-го Team-Cymru смогла примерно обозначить масштаб заражения, зарегистрировав 300 тысяч уникальных IP, обращавшихся к DNS-серверам злоумышленников. Среди заражённых роутеров назывались модели марок D-Link, Micronet, Tenda, TP-Link, а также устройства на базе ПО Zyxel.

Источник
Link to post
Share on other sites

Есть вопрос? Задай его профессиональным веб-мастерам, SEO и другим специалистам!

Рекламная сеть Popunder.ru работает с 2007 года, имеет десятки тысяч вебмастеров-партнёров и сотрудничает с более 500 тысяч сайтов.

С такими объёмами рекламных мест система Popunder.ru не заинтересована в каких-либо противоправных размещениях кодов, а тем более — вирусных.

 

Мы всячески сотрудничаем с антивирусами, выполняем их рекомендации и оперативно реагируем на различные абузы, которые приходят на почтовые адреса сети.

 

Сеть Popunder.ru не имеет никакого отношения к заражению роутеров и модификациям кода Google Analytics.

 

В данный момент предполагаемый нарушитель обнаружен и заблокирован, однако нам требуются уточнения со стороны Ara Labs, с которыми мы уже инициировали диалог.

 

По всем подобным вопросам Вы всегда можете написать нам, используя контактные данные на сайте сети. Заранее благодарим за сотрудничество в поиске и пресечении нарушений.

 

Рекламная сеть   

Popunder.ru

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...