Gaia Bottà

Malvertising, gli untori sono i colossi del Web

Da MSN al New York Times, passando per BBC, alcuni dei maggiori siti per traffico sono stati veicolo di trojan e ransomware mediati dalla pubblicità

Roma - Alcuni tra i maggiori siti del mondo per traffico, a partire dal weekend, sono stati incosapevoli untori di advertising malevolo: su msn.com, nytimes.com, bbc.com, theweathernetwork.com e altri siti rivolti soprattutto al pubblico statunitense è stata avviata una colossale campagna di malvertising nel tentativo di disseminare codice malevolo e ransomware assortiti.

La campagna, spiegano i ricercatori di Malwarebytes, è veicolata attraverso le reti di advertising di Google, AppNexus, AOL e Rubicon, che gestiscono la pubblicità sui siti colpiti e che permettono agli utenti di caricare contenuti afferenti a domini sospetti, fra cui un dominio in precedenza registrato da una società che opera nell'ambito dell'advertising, appena passato di mano.

Prima di sfruttare un iframe per trasmettere il malware, riferisce la security company TrustWave, uno script si incarica di verificare che la macchina non sia equipaggiata con le misure di sicurezza che renderebbero vano e potenzialmente tracciabile l'attacco. In un primo momento, la scorsa settimana, i domini sfruttati per l'attacco facevano leva su un exploit kit denominato RIG, in circolazione dal 2013 e impiegato soprattutto per irretire nelle botnet macchine vulnerabili. A partire dalla giornata di domenica, la campagna di malvertising è mutata per raggiungere un pubblico più vasto, e ha iniziato a sfruttare il famigerato Angler, noto per approfittare delle più diffuse falle di prodotti come Flash, Silverlight, JavaScript.
Gli utenti vulnerabili prestano così il fianco all'installazione del trojan Bedep e del ransomware TeslaCrypt: entrambi colpiscono i soli sistemi Windows.
Le security company che hanno individuato la campagna nel suo emergere hanno notificato il problema ai siti e agli ad network coinvolti loro malgrado: le operazioni per ripristinare la sicurezza sono in corso.

Gaia Bottà
Notizie collegate
  • SicurezzaAdobe Flash, primo posto per vulnerabilitàUna nuova ricerca identifica le falle di sicurezza più usate dagli exploit kit, e come prevedibile la classifica delle prime 10 vulnerabilità è monopolizzata da Flash Player. Il peggio è che gli utenti non aggiornano come dovrebbero
  • SicurezzaCome cambia il ransomwareGli autori di malware ricattatori si inventano nuove strategie, dalle chiavi crittografiche salvate offline alla minaccia di pubblicare online i file della vittima. Dall'FBI arriva un monito sorprendente, ancorché pratico: pagate il riscatto. A ProtonMail, però, non è servito
  • SicurezzaOS X, avvistato il ransomwareIl malware crittografico prende di mira anche i sistemi di Apple: Difficile ma non impossibile essere colpiti. Le contromisure sono già state messe in atto
32 Commenti alla Notizia Malvertising, gli untori sono i colossi del Web
Ordina
  • ...ecco perchè.

    E anche Disconnect, BetterPrivacy, HTTPSEverywhere, CookieMonster e altri ancora, tutti insieme allineati sulla barra in basso di Firefox.
    Funz
    12910
  • troppe estensioni lo rallentano e lo incasinano.
    -----------------------------------------------------------
    Modificato dall' autore il 17 marzo 2016 17.34
    -----------------------------------------------------------
  • Sun windoze? Specifica perché qui tutto regolare.
    non+autenticato
  • sì su win ma anche su linux, ma se hai tanta ram e cpu veloce no allora.
  • Un i3 con 2G MAI, NAI un "rallentamento", neanche con 20 schede aperte.

    Il problema sei tu.
    non+autenticato
  • - Scritto da: user_
    > troppe estensioni lo rallentano e lo incasinano.

    51 estensioni, 30-50 tab aperte per volta e va tutto benissimo...
    Funz
    12910
  • Ce te 'o dico a fa'???
    non+autenticato
  • ho bisogno
  • - Scritto da: user_
    > queste cose?

    Io te lo posso anche dire, ma poi tu sei disposto a seguire i consigli?
  • sì ma resto con windows 7. poi mi serve pure per un altro pc con win 8.1 e un altro con win 10.
    -----------------------------------------------------------
    Modificato dall' autore il 17 marzo 2016 17.26
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 17 marzo 2016 17.26
    -----------------------------------------------------------
  • Finora non ho mai preso questo tipo di malware.
  • - Scritto da: user_
    > sì ma resto con windows 7. poi mi serve pure per
    > un altro pc con win 8.1 e un altro con win
    > 10.
    > --------------------------------------------------
    > Modificato dall' autore il 17 marzo 2016 17.26
    > --------------------------------------------------
    > --------------------------------------------------
    > Modificato dall' autore il 17 marzo 2016 17.26
    > --------------------------------------------------

    Amico bbbello:

    https://support.microsoft.com/it-it

    e pedalare!
    non+autenticato
  • No, io volevo sapere quali sono le "misure di sicurezza che renderebbero vano e potenzialmente tracciabile l'attacco."

    Come c'è scritto nell'articolo: " uno script si incarica di verificare che la macchina non sia equipaggiata con le misure di sicurezza che renderebbero vano e potenzialmente tracciabile l'attacco."
  • Bastava leggere i link nell' articolo:

    https://www.trustwave.com/Resources/SpiderLabs-Blo.../

    La parte che ti interessa é questa:

    "de-obfuscation of the script revealed that it tries to enumerate the following list of security products and tools in order to filter out security researchers and users with protections that would prevent exploitation"

    https://npercoco.typepad.com/.a/6a0133f264aa62970b...

    posto l' immagine con la lista delle suite di dicurezza (incompleta?) sopracitate senza tag [img] per evitare casini visto che nell' anteprima non mi funzia.

    javascript attivo nel tuo browser = ti fanno le lastre, capito adesso?
    non+autenticato
  • Ho sempre avuto javascript attivo nei browser, secondo te se disabilito quello e uso microsoft security essentials (come av sempre attivo) sto a posto ?
    MA COME DEVO FARE CHE SENZA JAVASCRIPT NEANCHE SI APRONO I COMMENTI QUA ???
    -----------------------------------------------------------
    Modificato dall' autore il 17 marzo 2016 21.44
    -----------------------------------------------------------
  • Qualche giorno fa mi chiama un conoscente:

    "Ciao senti.. ho ricevuto un SMS sul telefono.. dice che ho vinto un milione e mezzo di dollari (circa) con il biglietto della lotteria numero XYZ1234 e di scrivere una mail a $qualchecosa@gmail.com per riscatare il premio... che faccio?"

    IO: "senti va la... ma dici sul serio o mi stai trollando? guarda che è una truffa"

    LUI: "eh l'ho pensato anche io. ma se poi è vero? rischio di perdere una occasione irripetibile..."

    Quindi non importa quale antivirus, quale Sistema operativo, quale ad blocker usi... il miglior software di protezione è quello che si trova tra le orecchie.

    Poi comincio a pensare che certa gente se lo MERITA di essere truffata...Sorride
  • > Poi comincio a pensare che certa gente se lo MERITA di essere truffata..

    Selezione naturale.
    non+autenticato
  • - Scritto da: nushuth
    > Qualche giorno fa mi chiama un conoscente:
    >
    > "Ciao senti.. ho ricevuto un SMS sul telefono..
    > dice che ho vinto un milione e mezzo di dollari
    > (circa) con il biglietto della lotteria numero

    E' il "circa" che mi preoccupa.
    Rotola dal ridere
  • il miglior antivirus e' un adblock occhio non vede cuore non clicca
    non+autenticato
  • ecco cosa intendo quando scrivo ( spesso ) che non basta non visitare i pornazzi per star tranquilli ( i winari trovano sempre questa scusa )

    di fronte ad una minaccia del genere, questi signori del "io sono 10 anni che non prendo virus" mi spiegano come fanno? a meno di avere il pc staccato dalla rete, non vedo proprio come si possa evitare di fare un brutto incontro con qualche ransomware
    non+autenticato
  • - Scritto da: collione
    > ecco cosa intendo quando scrivo ( spesso ) che
    > non basta non visitare i pornazzi per star
    > tranquilli ( i winari coglioni trovano sempre questa scusa
    > )

    Fixed.

    E non mi riferisco al tuo nickname.

    PS: no ma dicono anche "basta avere un antivirus decente" eh. Rotola dal ridere
    non+autenticato
  • - Scritto da: collione

    > di fronte ad una minaccia del genere, questi
    > signori del "io sono 10 anni che non prendo
    > virus" mi spiegano come fanno?

    Entrare nel club dei 10 20 anni è difficile ma non impossibile: il consiglio spassionato che posso darti è quello di iniziare studiando l'ABC dell'informatica...
  • - Scritto da: collione
    > ecco cosa intendo quando scrivo ( spesso ) che
    > non basta non visitare i pornazzi per star
    > tranquilli ( i winari trovano sempre questa scusa
    > )
    >
    > di fronte ad una minaccia del genere, questi
    > signori del "io sono 10 anni che non prendo
    > virus" mi spiegano come fanno?

    Semplice.
    Sono convinti che se c'e' un virus, il computer diventa verde e compaiono tanti puntini rossi sul monitor.

    Inutile spiegargli che i sintomi sono il disco che gira a palla, la rete lentissima perche' la botnet gli concede poca banda, e altre cose del genere: sono convinti che quello e' il comportamento normale del pc.
    E poi hanno NAV scaduto che li protegge!
  • - Scritto da: panda rossa
    > - Scritto da: collione
    > > ecco cosa intendo quando scrivo ( spesso )
    > > che non basta non visitare i pornazzi per star
    > > tranquilli (i winari trovano sempre questa scusa)
    > >
    > > di fronte ad una minaccia del genere, questi
    > > signori del "io sono 10 anni che non prendo
    > > virus" mi spiegano come fanno?
    >
    > Semplice.
    > Sono convinti che se c'e' un virus, il computer
    > diventa verde e compaiono tanti puntini rossi sul
    > monitor.
    >
    > Inutile spiegargli che i sintomi sono il disco
    > che gira a palla, la rete lentissima perche' la
    > botnet gli concede poca banda, e altre cose del
    > genere: sono convinti che quello e' il
    > comportamento normale del pc.
    > E poi hanno NAV scaduto che li protegge!

    ...purtroppo è così: però devi ammettere che con un minimo di conoscenza nel campo della sicurezza informatica non solo è possibile impedire qualsiasi tipo di infezione (e questo senza AV residente) ma è anche agevole stabilire se un PC sia infetto o meno e, nel caso, disinfestarlo anche senza l'ausilio di un AV.

    Il problema qui sono i soliti noti: plugin multimediali colabrodo + Java

    Il problema qui sono gli amministratori di sistema che a quanto pare invece di amministrare si lasciano amministrare (dal capo, dagli utonti e persino da remoto via C&C, grazie alla loro crassa ignoranza della materia).

    Il problema qui sono i responsabili dei siti web, le cui pagine operano da vettori infettivi...e poi ci si ''indigna'' per il danno economico apportato alle Società se sempre più gente inizia ad utilizzare gli Ad-blocker!.

    Il problema qui non è il S.O. e/o i malware ma l'utente che a partire dalla fine degli anni '90 si è gradualmente involuto in utonto: botnet, trojan bancari e ransomware ne sono la logica e prevedibile conseguenza.
  • - Scritto da: vrioexo

    > ...purtroppo è così: però devi ammettere che con
    > un minimo di conoscenza nel campo della sicurezza
    > informatica non solo è possibile impedire
    > qualsiasi tipo di infezione (e questo senza AV
    > residente) ma è anche agevole stabilire se un PC
    > sia infetto o meno e, nel caso, disinfestarlo
    > anche senza l'ausilio di un
    > AV

    Se hai un minimo di conoscenze informatiche per prima cosa l'antivirus lo installi e ORIGINALE
    .poz
    196
  • - Scritto da: .poz
    > - Scritto da: vrioexo
    >
    > > ...purtroppo è così: però devi ammettere che con
    > > un minimo di conoscenza nel campo della
    > sicurezza
    > > informatica non solo è possibile impedire
    > > qualsiasi tipo di infezione (e questo senza AV
    > > residente) ma è anche agevole stabilire se un PC
    > > sia infetto o meno e, nel caso, disinfestarlo
    > > anche senza l'ausilio di un
    > > AV
    >
    > Se hai un minimo di conoscenze informatiche per
    > prima cosa l'antivirus lo installi e ORIGINALE

    Se hai un minimo di conoscenze informatiche per prima cosa l'antivirus non lo installi proprio...Occhiolino
  • - Scritto da: panda rossa

    > Semplice.
    > Sono convinti che se c'e' un virus, il computer
    > diventa verde e compaiono tanti puntini rossi sul
    > monitor.
    >
    > Inutile spiegargli che i sintomi sono il disco
    > che gira a palla, la rete lentissima perche' la
    > botnet gli concede poca banda, e altre cose del
    > genere: sono convinti che quello e' il
    > comportamento normale del
    > pc.
    > E poi hanno NAV scaduto che li protegge!


    studiare il perchè delle cose fa sempre bene

    http://punto-informatico.it/b.aspx?i=4306554&m=430...
    -----------------------------------------------------------
    Modificato dall' autore il 17 marzo 2016 17.57
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: collione
    > ecco cosa intendo quando scrivo ( spesso ) che
    > non basta non visitare i pornazzi per star
    > tranquilli ( i winari trovano sempre questa scusa
    > )
    >
    > di fronte ad una minaccia del genere, questi
    > signori del "io sono 10 anni che non prendo
    > virus" mi spiegano come fanno? a meno di avere il
    > pc staccato dalla rete, non vedo proprio come si
    > possa evitare di fare un brutto incontro con
    > qualche
    > ransomware


    non bastano le tue conoscenze nulle in ambito informatico

    quali versioni di Flash Player erano vulnerabili ? nn dice niente nessuno = ovvio che se uno blocca gli aggiornamenti automatici di Flash cade

    Poi perchè si installi il Ranmsomware dopo essere andato a buon fine l'exploit su versione di Flash outdated, prima deve venir autoscaricato il .exe installer che poi si autolancia grazie alla shellcode ma poi perchè venga anche installato sul sistema il pollo deve cliccare acconsentendo su UAC ( a meno che non ha abbassato il livello a zero) e quindi colpa sua

    ....+ se si usa accont Standard=Limitato e non Admin deve digitare anche la Password altrimenti nn si installa niente sul sistema e se uno sta solo navigando sul sito, che passpwrd improvvisa in UAC dovrebbe digitare?

    solo un pollo puo' abboccare e contro i volatili non esiste OS che tenga

    informatevi prima di scrivere
    Fiber
    3605
  • - Scritto da: Fiber <- ho smesso di leggere qui
    non+autenticato