За прошлые несколько месяцев, malvertising кампании делали заголовки в infosec сообществе как никогда прежде. Места как eBay, Forbes и Yahoo были поражены, некоторые не только однажды, и со все более порочным вредоносным программным обеспечением, ждущим пользователей в другом конце злонамеренного объявления.

Мы говорили об этой возрастающей тенденции в сетевых угрозах с Джоном Уилсоном, Полевым CTO в Agari, почтовой компании по обеспечению безопасности. Г-н Уилсон боролся с основанным на электронной почте мошенничеством с 2006, когда он развивал основанное на идентификации решение антифишинга как CTO Brandmail Solutions.

Г-н Уилсон теперь продолжает свою миссию избавить мир мошенничества по электронной почте в Agari, поддержанном предприятием стартапе, который помог разработать стандарт DMARC.

Усиливая DMARC и почтовые данные частного канала, г-н Уилсон помог Microsoft и FS-ISAC с разборкой ботнета Цитадели B54, обеспечив данные, связанные с инфекциями ботнета Цитадели и действуя как заявитель в гражданском действии конфискации, поданном в американском Окружном суде. Он также держит B.S. в Информатике и Разработке из MIT.

Как журналисты, мы видим более высокое количество отчетов от продавцов кибербезопасности на malvertising. Эта тенденция на основе истинного увеличения нападений malvertising, или инструменты используются, чтобы обнаружить их улучшение при определении их?

Недавний отчет о научно-исследовательской работе Cyphort предполагает, что есть действительно увеличение нападений malvertising. Cyphort пробовал 100 000 популярных веб-сайтов, чтобы определить, которые подавали злонамеренные объявления и нашли категорическую восходящую тенденцию.

Что заставляет этих киберпреступников предпочитать malvertising кампании корпоративным сетевым вторжениям или другим типам нападений?

Комплект деяния Рыболова, который предоставляет «вредоносное программное обеспечение как обслуживание», сделал чрезвычайно легким для нетехнических киберпреступников выполнить нападения «загрузки на автомобиле». В этом типе нападения пользователь должен только посетить зараженную интернет-страницу, чтобы стать зараженным выбором преступником злонамеренного программного обеспечения. Проблема для киберпреступника стала одной из поставляющих жертв тех зараженных веб-сайтов. Традиционно электронная почта использовалась для этой задачи; преступник исполнил бы роль известного бренда, надеясь, что получатель нажмет на ссылку в сообщении. В то время как электронная почта продолжает быть общим вектором инфекции, события, такие как DMARC, а также образование конечного пользователя уменьшили эффективность этой среды для киберпреступника.

Рекламные сети - прекрасное транспортное средство для инфекций загрузки на автомобиле, потому что никакое действие не требуется со стороны жертвы. Преступник даже не заботится, нажимает ли кто-либо на их объявление; инфекция появляется, когда объявление предоставлено. Кроме того, рекламные сети обеспечивают превосходные возможности планирования. Вы хотите заразить пенсионеров собственным капиталом более чем $10 миллионами, или 30-somethings, кто работает в промышленности транспортировки? Преступник просто настраивает свои параметры планирования и позволяет рекламной сети найти его предпочтительных жертв.

Люди позади этих malvertising кампаний - часть групп организованной преступности, APTs, или просто простых одиноких волков, ища денежную прибыль?

Объем и масштаб кампаний указывают на синдикаты организованной преступности, а не одиноких волков.

Большую часть времени мы видим рекламное программное обеспечение и программу-вымогатель, распределяемую через комплект деяния, все они нападают на инструменты, которые могут быть куплены по довольно низким ценам в эти дни на темную сеть. Есть ли корреляция между быстрым увеличением рынков взламывания темной сети и увеличением malvertising?

Абсолютно. Уровень технической экспертизы, требуемой осуществить эти нападения, является путем вне возможностей большинства преступников. Быстрое увеличение недорогих crimeware комплектов значительно понижает бар.

У malvertisers есть специальный аппетит к корпоративным целям, домашним пользователям, или большая часть времени, это - просто случайная, всеобъемлющая кампания?

У различных преступных групп есть различные мотивации и цель соответственно. Например, получивший широкую огласку Центр Порно и нападения XHamster ясно предназначались для домашних пользователей, в то время как злонамеренные рекламные объявления на Forbes.com, вероятно, сосредотачивались больше на корпоративных пользователях. Некоторым преступным группам нравится быть нацеленными на компании, потому что отдельные выплаты могут быть настолько выше, в то время как другие довольны украсть несколько тысяч долларов от многих людей.

Почему столько высококлассных веб-сайтов злоупотреблено и распространяющийся malvertising в последнее время?

Бегущие объявления на Вашем веб-сайте только имеют финансовый смысл, если у Вас есть много посетителей, таким образом, не удивительно, что самые известные веб-сайты поражаются больше всего. Есть также уклон СМИ; если мои 200 посетителей в день ведут блог, заражает 3 человек, это не новости, но когда главный известный веб-сайт заражает 30 000 человек, это имеет тенденцию делать заголовки.

Google и Amazon объявили о планах переехать от бегущих объявлений Вспышки. Это затронет эффективность нападений malvertising?

Да, в известной степени. Комплекты деяния похожи на швейцарский нож; если Вы пробуете каждый инструмент, у Вас есть большой шанс нахождения того, которое работает. Удаление объявлений Вспышки отдаст большое количество бесполезных деяний; однако, есть все еще много деяний невспышки, которые могут быть достаточными.