Serviciu anti-adblock, folosit de hackeri pentru a infecta PC-urile vizitatorilor unor website-uri legitime

Autor: Aurelian Mihai 03.11.2015
Serviciu anti-adblock, folosit de hackeri pentru a infecta PC-urile vizitatorilor unor website-uri legitime

Mai mult de 500 website-uri care foloseau un serviciu gratuit ce promite împiedicarea folosirii programelor de tip adblock au fost deturnate pentru a răspândi o formă de malware ce permite atacatorilor să preia controlul total asupra dispozitivelor infectate.

Creat pentru a proteja administratorii website-urilor legitime care folosesc promovarea prin reclame ca metodă principală de finanţare, serviciul PageFair presupune inserarea unei porţiuni de cod JavaScript în structura paginii web, responsabil cu detectarea situaţiilor unde sunt folosite extensii de tip AdBlock pentru eliminarea reclamelor din pagină. Din nefericire metoda folosită lasă şi o portiţă de intrare pentru eventuale atacuri cu malware, dacă serviciul care administrează respectiva porţiune de cod este compromis de un hacker mai iscusit. Acesta pare să fie cazul şi cu PageFair, deturnat chiar în noaptea de Halloween prin neatenţia unui angajat care a deschis ataşamentul infectat adăugat la un mesaj email.

Serviciu anti-adblock, folosit de hackeri pentru a infecta PC-urile vizitatorilor unor website-uri legitime

Odată ce au obţinut acces asupra serverului PageFair, atacatorii au înlocuit codul JavaScript executat pe cele 501 website-urile abonate cu o variantă proprie. Pentru următoarele 83 minute toate website-urile care folosesc serviciul PageFair au afişat vizitatorilor ferestre pop-up anunţând că versiunea Adobe Flash instalată pe dispozitiv este învechită, sugerând download-ul unui fişier executabil găzduit pe un server aflat sub controlul atacatorilor.

Din fericire forma de malware livrată prin această metodă – o variantă a troianului Nancore – este compatibilă doar cu platforma Windows şi uşor detectată de majoritatea programelor antivirus. Chiar şi aşa, potrivit CEO-ului PageFair, Sean Blanchfield, până la 2.3% dintre PC-urile care au vizitat website-urile compromise  ar fi putut fi infectate.

Odată infiltrat, malware-ul Nancore încarcă pe serverele atacatorilor rapoarte periodice conţinând parolele înregistrate, informaţiile card-ului de credit şi alte date personale, cum ar fi pozele victimelor obţinute cu ajutorul webcam-ului.

Din fericire ameninţarea a fost înlăturată rapid de administratorii PageFair, însă întâmplarea ilustrează foarte bine modul în care până şi website-uri cunoscute ca fiind inofensive pot fi deturnate de hackeri şi folosite în atacuri surpriză, îndreptate asupra vizitatorilor ocazionali.

Tags: