Κατά τη διάρκεια της τελευταίας εβδομάδας, γερμανοί χρήστες ήρθαν αντιμέτωποι με μια σειρά από κακόβουλες διαφημίσεις (malvertising) που οδηγούσαν σε ιστοσελίδες μολυσμένες με διάφορους τύπους rootkits, banking trojans και clickfraud bots.
Η εκστρατεία παρατηρήθηκε από ερευνητές ασφάλειας των Invincea και Malwarebytes, και όπως διαπιστώθηκε επηρέαζε γερμανικές ιστοσελίδες υψηλής επισκεψιμότητας όπως eBay.de, Deutschewelle.pw, Deutschlandauto.xyz, Arcor.de, Swp.de, Fischkopf.de, και Donaukurier.de.
Σύμφωνα με την Invincea, μεταξύ των μολυσμένων ιστοσελίδων συμπεριλαμβάνονταν και ο ιστότοπος του μεγαλύτερου παρόχου internet της Γερμανίας, T-Online.de (Deutsche Telekom), μέσω του οποίου οι επιτιθέμενοι διένεμαν το rootkit και τραπεζικό trojan, Tinba, καθώς και το clickfraud bot, Bedep.
To Tinba αξιοποιούταν για την παρακολούθηση των δραστηριοτήτων των χρηστών, με σκοπό την υποκλοπή πληροφοριών σχετικά με τραπεζικές και χρηματοοικονομικές συναλλαγές, ενώ το Bedep βοήθησε τους εισβολείς να αυξήσουν τα κέρδη τους αναλαμβάνοντας τον έλεγχο των υπολογιστών των θυμάτων και χρησιμοποιώντας τους στη συνέχεια ώστε να κάνουν κλικ σε συγκεκριμένες διαφημίσεις, με τη βοήθεια ενός “αόρατου” προγράμματος περιήγησης.
Όπως αναφέρουν οι ερευνητές της Invincea, οι παράγοντες που εμπλέκονται στην εκστρατεία malvertising κατάφεραν να αποφύγουν τον εντοπισμό τους από τα λογισμικά antivirus μέσω της χρήσης μιας νέας malware assembly τεχνικής, γνωστής και ως just-in-time (JIT) malware assembly. Η τεχνική αυτή έχει ήδη αναλυθεί λεπτομερώς από ερευνητές των Invincea και ESET.
[alert]Σύμφωνα με τους ερευνητές, το τραπεζικό trojan Tinba αποτελείται από πολλαπλά στρώματα και αξιοποιεί διάφορα βοηθητικά Windows scripting προγράμματα, που του επιτρέπουν να περνά απαρατήρητο από τα συνηθισμένα προγράμματα antivirus.[/alert]
Σύμφωνα με την Malwarebytes, οι επιτιθέμενοι χρησιμοποιούσαν επίσης τα Angler και Neutrino exploit kits για να μολύνουν τους υπολογιστές των θυμάτων.
Βάσει των εκτιμώμενων συνολικών μηνιαίων επισκεπτών των επηρεάζομενων ιστοσελίδων, οι ερευνητές εκτιμούν ότι περίπου 220 εκατομμύρια χρήστες εκτέθηκαν στην εκστρατεία malvertising, η οποία έπληξε τις κορυφαίες ιστοσελίδες της Γερμανίας.
