Popularne serwisy internetowe nie mogą sobie pozwolić na to, żeby na swoich stronach umieszczać szkodliwe oprogramowanie. Jednak z czegoś muszą się utrzymywać, więc umieszczają reklamy. Dlatego hakerzy zaczęli ostatnio stosować dość ciekawy wektor ataku, który polega na infekowaniu kampanii reklamowych. Właśnie w ten sposób linki do zainfekowanych aktualizacji dla przeglądarek znalazły się w serwisie PornHub. Za atak odpowiada grupa KovCoreG, która w ten sposób rozprzestrzeniała robaka o nazwie Kovter.
Problem pojawia się wtedy, kiedy prezentowane przez stronę treści nie są zgodne z wytycznymi AdWords. Tutaj właśnie Google ma ścisłe zasady dotyczące nie tylko reklam zawierające treści o charakterze seksualnym, ale również uruchamianie jakiejkolwiek kampanii reklamowej na stronach z takimi materiałami. Dlatego też serwisy tupu PornHub korzystają z usług innych reklamodawców, którzy nie mają takich restrykcji. Ostatnio kampania reklamowa była użyta do rozpowszechniania kodu powodującego wydobywanie kryptowalut. Teraz mamy do czynienia z malware, które z użyciem technik socjotechnicznych zachęca użytkownika do instalacji wirusa typu command and control, która przekazuje cyberprzestępcom kontrolę nad zainfekowanym komputerem.
Malware na stronie PornHub rozpowszechniał się przez kampanie reklamową Traffic Junky.
Sama metoda ataku jest dość prymitywna, ponieważ nie wykorzystuje ona żadnej luki w przeglądarkach internetowych. Hakerzy po prostu użyli reklam, które po kliknięciu wyświetlają okno zachęcające do instalacji krytycznej aktualizacji dla używanej przeglądarki internetowej. Z kolei użytkownicy Internet Explorera oraz Microsoft Edge są zachęcani do zainstalowania nowej wersji wtyczki Adobe Flash. Jest to dość ciekawy zabieg socjotechniczny, ponieważ potencjalny użytkownik strony zawierającej materiały dla dorosłych będzie skłonny do instalacji aktualizacji w celu obejrzenia szukanych treści.
Spostrzegawczy użytkownik powinien również zauważyć, że plik zawierający aktualizację ma podejrzaną nazwę oraz jest pobierany z domeny niezwiązanej z producentem przeglądarki. Zatem osoby, które nie klikają wszystkiego, co popadnie, nie powinny zostać zainfekowane. Skala ataku jest ogromna, ponieważ serwis PornHub według rankingu Alexa zajmuje 38 miejsce pod kątem popularności na świecie. W Polsce jest on na 34 miejscu i wyprzedza takie serwisy jak Kwejk oraz Linkedin. Jednak jego skuteczność może być znikoma, ponieważ zostały użyte dość prymitywne metody.
Źródło: Kaspersky, Proofpoint