Reklamy na Youtube šíří malware

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ScheRas
Datum: 26.2.2014
Hodnocení/Hlasovalo: 1/1

Malware se nenachází na Youtube jako takovém, viníkem je v tomto případě reklamní síť, kterou Youtube využívá.

Bezpečnostní experti z Bromium Labs zjistili, že reklamní síť YouTube byla neznámými útočníky zneužita k šíření škodlivého kódu, lépe řečeno k přesměrování uživatele na škodlivé webové stránky. Počet obětí útoku, které se útočníkům podařilo reálně ohrozit není v současnosti známý, ovšem když uvážíme, že má Youtube 1 miliardu unikátních návštěvníků měsíčně, mohl by mít komplexnější útok téměř globální dopad.

Samotný útok neměl nijak zvláštní průběh. Oběť byla unesena na stránky pod kontrolou útočníka, které hostovaly Styx Exploit Kit zneužívající zranitelnost v Javě k instalaci bankovního trojanu Caphaw. Jediná zajímavost je, že malware je schopen detekovat konkrétní verzi Javy nainstalované v počítači uživatele, a na základě toho zneužít vhodné zranitelnosti.

Konkrétně mohl tedy útok vypadat nějak takto:

  1. Uživatel si pustí video na Youtube.
  2. Na stránce je několik náhledů dalších videí. Uživatel na jeden takový klikne.
  3. Uživatel sleduje další video. V pozadí je uživatel přesměrován na škodlivé reklamy GoogleAds (*. Doubleclick.net).
  4. Malware přesměruje uživatele na "foulpapers.com".
  5. V této stránce se nachází iframe načítající data z "aecua.nl".
  6. Na aecua.nl se již nachází samotný Exploit Kit, který začíná pracovat.

Škodlivé reklamy na Youtube

Servery sloužící k šíření malwaru se nacházejí v Evropě a autoři trojanu využívají pro komunikaci s C&C centrem techniky DGA, což ve zkratce znamená, že malware pravidelně generuje velké množství doménových jmen, přes které jsou pak řídící servery dostupné.

Škodlivá kampaň již byla stažena a bezpečnostní tým Google celý incident vyšetřuje. Je také dobré říci, že malware zneužíval přibližně rok staré zranitelnosti, tudíž se uživatelé s plně aktualizovaným softwarovým vybavením nemají čeho bát.