Постоянные обновления ПО, патчи и заплатки по безопасности значительно усложняют киберпреступникам взлом и кражу ценных данных. Но злоумышленники не останутся без денег: в этом им помогут поисковики. Благодаря этому сложные взломы программного обеспечения и социальная инженерия могут уступить место просмотру рекламы в браузере. Результат будет одинаковым: пользователь начнет в буквальном смысле добывать деньги злоумышленникам.
Один из подобных случаев произошел на прошлой неделе: тогда примерно два миллиона европейских пользователей поисковика Yahoo вместе с поисковыми результатами получили на свои ПК вирусы. Такое произошло из-за того, что злоумышленники взломали серверы рекламной сети Yahoo и внедрили в объявления вредоносный код. Возможность заражения сохранялась в течение четырех дней до тех пор, пока специалисты не закрыли эту брешь в безопасности.
Первыми бить тревогу начали вовсе не представители Yahoo: об инциденте впервые сообщили специалисты нидерландской компьютерной фирмы Fox IT. Они обнаружили, что некоторые посетители Yahoo.com уходили с сайта с вирусом на своем компьютере. Эксперты этой компании также смогли в общих чертах определить путь заражения. Пользователи посещали рекламные страницы с внедренными эксплоитами, использовавшими бреши в Java. Когда злоумышленники получали контроль над ПК, они инсталлировали множество зловредного ПО.
О случившемся инциденте Yahoo рассказывает неохотно: компания не сообщает, сколько пользователей пострадали, и не предложила владельцам зараженных ПК инструкций по лечению. В официальном заявлении говорится лишь о том, что «в период с 31 декабря по 3 января на четырех европейских серверах компания обслуживала некоторые рекламные объявления, которые не соответствуют требованиям, а именно – они распространяли зловредное ПО». Представители компании также заявили, что пользователи из Северной Америки, Азии и Латинской Америки не пострадали. «Мы продолжим отслеживать и блокировать любые подобные рекламные объявления, – говорится в официальном заявлении. – Мы продолжим информировать наших пользователей».
Катастрофа неопределенных границ
Из-за отсутствия официальной информации оценки масштабов инцидента сильно отличаются. Так, специалист Fox IT Маартен ван Дантциг, основываясь на количестве просмотров рекламы, оценил, что ежечасно инфицировалось примерно 27 тыс. компьютеров. Эксперты другой нидерландской компьютерной фирмы Surfright оценили число зараженных машин в 2 млн.
«Не каждое объявление в рекламной сети Yahoo содержали вирусные элементы. Но пользователи старых версий виртуальной машины, которые посещали Yahoo Mail, скорее всего, инфицировали свои машины, – говорится в комментарии Surfright об этом масштабном заражении. – Мы также получали сообщения, что зловредное ПО распространялось и через рекламу в Yahoo Messenger. Поэтому если вы недавно пользовались сервисами Yahoo, стоит проверить свой ПК антивирусом».
Зараженные машины – источник золота
Случай с Yahoo уникален тем, что злоумышленникам нужны были не только данные пользователей или номера их кредитных карт. Они превращали машины потребителей в добытчиков виртуального золота.
О том, зачем киберпреступникам понадобилось заражать рекламные объявления Yahoo, представители поисковика тоже не молчат. Об этом рассказали специалисты фирмы по компьютерной безопасности Light Cyber. В начале декабря они предупреждали Yahoo о потенциальной угрозе того, что их пользователи могут стать добытчиками денег для киберпреступников.
Зараженные компьютеры пользователей начинали активно зарабатывать монетки виртуальной валюты Bitcoin. Последняя сейчас имеет курс около $1000 за один биткоин и позволяет проводить все операции анонимно, что выгодно злоумышленникам.
Добыча этой цифровой валюты требует больших вычислительных ресурсов, и требования к мощности компьютеров постоянно растут. Многие владельцы Bitcoin для поддержки постоянного уровня генерирования цифровых монет вынуждены покупать специализированные станции ценой в несколько тысяч долларов и оплачивают значительные счета за электроэнергию. А злоумышленники получили высокопроизводительную сеть из пользовательских ПК без подобных затрат. Подробней об этой валюте можно прочитать в нашем материале «Как шифроденьги начинают заменять деньги обычные».
Целимся в Java
«Атака была нацелена на устаревшее ПО, – говорит директор фирмы по компьютерной безопасности CSO Стив Рейган. – Единственный вариант, чтобы эксплоит сработал, – это иметь устаревшую версию Java». Java – это технология, используемая для разработки приложений, делающих работу в интернете увлекательней и удобней. С ее помощью программисты могут создавать различные веб-формы, веб-утилиты, игры и различный интерактивный контент. Она бесплатна, ее легко освоить и работает практически на любом ПК и любой ОС, поэтому она очень популярна.
Кроме софта по майнингу биткоинов, зараженные ПК также получали целый «букет» зловредного ПО. Например, известный червь ZeuS, ворующий банковские данные, и Andromeda, превращающая машину в послушного зомби. Пользователи еще получали программы, ворующие клики на рекламных баннерах и перенаправляющие их на сайты злоумышленников. Зараженные ПК также становились миной для своего владельца благодаря червю Cryptolocker. По команде хозяина он шифрует пользовательские файлы и требует выкуп за их дешифрацию. Размер последнего равняется двум биткоинам или по сегодняшнему курсу – примерно $2 тыс.
Из-за такого большого набора зловредного ПО, которое обрушивается на кликнувшего зараженную рекламу пользователя, вероятность инфицировать свою машину в 182 раза выше, чем при просмотре сайтов для взрослых. Такие данные приводят аналитики Cisco в своем докладе.
Поисковики как поставщики заражений
Заражение пользователей через рекламные сети поисковиков – факт известный. Специалисты по компьютерной безопасности регулярно сообщают о том, что первые строчки в поисковой выдаче того или иного поисковика стали источником вирусов. Например, до случая с Yahoo в новостных лентах засветился Bing, о чем сообщили эксперты антивирусной компании ThreatTrack Security Labs. Его реклама вместо товаров и услуг вела на сайт со зловредным ПО, которое воровало данные пользователей и превращало их машины в зомби.
От вирусов в собственной рекламе страдает и Google. Последний в 2011 году отрапортовал о самом крупном снижении количества заразных ссылок в топе своей поисковой выдачи. Тогда их число удалось уменьшить на 50%, для чего поисковый гигант затратил миллионы долларов на доработку своей системы. В числах такое уменьшение означало пропажу 130 млн зловредных сайтов из поисковой выдачи.
Полностью избавиться от вредоносных сайтов поисковики не могут, о чем свидетельствует исследование антивирусной компании AV-TEST. Они отслеживали ситуацию в течение последних двух лет и выявили, что Google показывает 272 вредоносных сайта на 10 млн проанализированных веб-ресурсов. Для сравнения, Bing показал пользователям 1285 опасных страничек, а Яндекс – 3330.
