Malvertising (малвертайзинг) - представляет собой технически сложную киберугрозу, суть которой заключается в злонамеренном использовании легитимных сетей онлайн-рекламы для распространения вредоносного программного обеспечения (malware) или вовлечения пользователей в мошеннические схемы. Это гибридная атака, искусно маскирующая зловредную активность под видом обычной, безобидной рекламы, которую пользователь встречает на доверенных и популярных веб-сайтах. Ключевая опасность малвертайзинга кроется в его способности обходить традиционные защитные механизмы пользователя, эксплуатируя доверие как к рекламным платформам, так и к сайтам-издателям, на которых эта реклама отображается.
Механизм действия малвертайзинга начинается с инфильтрации злоумышленников в экосистему цифровой рекламы. Злоумышленники регистрируются в качестве рекламодателей у рекламных сетей (ad networks) или бирж (ad exchanges), используя поддельные или украденные данные, и представляют внешне безвредные рекламные креативы (баннеры, видеообъявления) для утверждения. Процесс модерации рекламных материалов, хотя и существует, часто является автоматизированным и не всегда способен выявить сложно замаскированные угрозы или динамически изменяющийся вредоносный код. После утверждения и начала кампании злоумышленники модифицируют рекламные материалы на стороне сервера, предоставляющего объявления (ad server), подконтрольного им. Это изменение может произойти в любой момент, превращая изначально "чистый" баннер в инструмент атаки. Вредоносный код внедряется либо непосредственно в файлы объявления (например, в зараженный Flash- или JavaScript-файл), либо объявление начинает перенаправлять пользователей на эксплойт-киты или фишинговые страницы.
Техническая реализация атаки часто включает несколько этапов. Пользователь загружает веб-страницу, которая через рекламную сеть запрашивает объявление. Зараженный или скомпрометированный рекламный сервер предоставляет вредоносное объявление. Это объявление может содержать скрипт, который незаметно для пользователя (например, через невидимый iframe) перенаправляет браузер на другой сервер, контролируемый злоумышленниками. Этот второй сервер является ключевым элементом – эксплойт-китом. Эксплойт-кит – это сложный программный комплекс, который в реальном времени анализирует систему пользователя (версию браузера, операционной системы, установленные плагины) на наличие известных уязвимостей. Если уязвимость обнаружена, кит немедленно запускает соответствующий эксплойт (специальный код, использующий эту уязвимость), чтобы незаметно загрузить и установить на устройство пользователя вредоносную нагрузку (payload). Типичные нагрузки включают программы-вымогатели (ransomware), троянских коней, крадущих банковские данные (banking trojans), ботов для создания ботнетов, шпионское ПО (spyware) или майнеры криптовалюты (cryptojackers).
Цели и последствия малвертайзинга разнообразны и крайне разрушительны. Основная цель - заражение максимального числа устройств для последующей монетизации. Злоумышленники могут напрямую воровать конфиденциальные данные: логины и пароли, банковские реквизиты, номера кредитных карт, персональную информацию. Зараженные компьютеры могут быть превращены в часть ботнета, используемого для рассылки спама, проведения DDoS-атак или распространения других видов вредоносного ПО. Программы-вымогатели шифруют файлы пользователя и требуют выкуп за их расшифровку. Криптоджекинг использует вычислительные ресурсы устройства для майнинга криптовалюты без ведома владельца, приводя к замедлению работы и перегреву оборудования. Помимо прямого ущерба пользователям, малвертайзинг подрывает доверие к цифровой рекламе как индустрии, наносит репутационный ущерб рекламным сетям, которые не смогли предотвратить атаку, и особенно – сайтам-издателям, на чьих страницах была показана зараженная реклама. Пользователь видит угрозу именно на их сайте.
Сложность борьбы с малвертайзингом обусловлена несколькими факторами:
- Используется динамичность рекламных цепочек. Объявление проходит через множество посредников (рекламные сети, SSP, DSP) прежде чем попасть на страницу издателя, что затрудняет отслеживание источника заражения и оперативное реагирование.
- Применяются техники уклонения (evasion techniques). Вредоносный код может быть активирован только при определенных условиях (например, в определенное время суток, для пользователей из конкретного региона, или после проверки, что запрос идет не от аналитической системы безопасности).
- Злоумышленники активно эксплуатируют нулевые уязвимости (zero-day vulnerabilities) – дыры в безопасности, о которых еще не известно разработчикам ПО и, следовательно, нет исправлений (патчей). В-четвертых, масштабы рекламных сетей огромны, обработка миллионов объявлений ежедневно делает ручную проверку каждого практически невозможной.
