Яндекс и безопасность. Как мы изучали и обезвреживали обёртки (агрессивные adware)

Тема в разделе "Новости информационной безопасности", создана пользователем regist, 9 ноя 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    В последнее время в нашу службу поддержки стали больше жаловаться на сомнительную рекламу и всплывающие окна на главной странице Яндекса. Люди сообщали, что нежелательная реклама преследует их и на других популярных ресурсах и в социальных сетях (Mail.ru, Вконтакте и т.п.). Команда безопасного поиска Яндекса решила разобраться в чём же дело.
    [​IMG]

    Мы проанализировали состояние систем обратившихся пользователей и увидели, что у них всех на компьютере было установлено рекламное программное обеспечение класса Adware, которое и было источником появления баннеров с сомнительной рекламой, порнографией и другим нежелательным контентом. Выяснилось, что существует целый ряд программ с разными названиями, но действуют они похоже, а результат работы практически идентичен. Аналитики решили не останавливаться на достигнутом, копнуть глубже и проанализировать алгоритмы работы этих программ.

    Из обнаруженных у пострадавших пользователей программ, самой распространённой adware оказалась BetterSurf. Вот хэши некоторых её модулей:
    Код (Text):
    0010aef925ea83579b70905d0e0c84b09df2a55f
    00190be9b6f2650416fe0154655f5aefd0a97eb0
    Это ПО было установлено в системе с этим именем, а также иногда скрывалось под видом MediaViewer. Сама программа представлена в виде набора плагинов для всех популярных браузеров: Google Chrome, Mozilla Firefox и Internet Explorer. В основе этих модулей лежит практически идентичный js-код, выполняющий подгрузку веб-страниц в браузер.

    Расширения при каждом посещении пользователем того или иного URL отправляют GET-запрос вида:
    [​IMG]

    Ответом на данный запрос выступает веб-страница, которая выглядит следующим образом:
    [​IMG]

    В ходе ее обработки браузер подгружает целый набор js-скриптов, часть из которых запакованы.
    [​IMG]

    Лог веб-прокси, в ходе работы Adware-плагина в браузере

    Детальный анализ показал, что эти скрипты определяют набор программного обеспечения пользователя, регион, в некоторых случаях даже устанавливают flash-cookie, а также пытаются определить на каком сайте в данный момент находится пользователь.
    [​IMG]

    В результате работы этих скриптов (если пользователь перешел на ссылку с сайта, который находится в массиве интересующих) пользователю, в зависимости от определенных параметров, подгружается js-скрипт, инжектирующий в DOM веб-ресурса дополнительный баннер.

    Ниже пример списка сайтов, при переходе на которые добавляться рекламные баннеры:
    mail.inbox.lv, mail.com mail.mailig.ig.com.br ",«mail.ru »,«mail.terra.com.br »,"
    mail.tiscali.it ",«mail.uol.com.br »,«mail.virgilio.it »," mail.yandex.ru "," mail.voila.fr ",«mailbeta.libero.it »,«mailonline.com »,«mailonsunday.co.uk »,«mailtribune.com »,«mainlinemedianews.com »,«majorleaguegaming.com »,«makeandtakes.com »,«makemebabies.com »,«maketecheasier.com »,"
    makeupgeek.com ",«malavida.com »,«malvin.tv »,«mamacheaps.com »,"
    mamapop.com ",«mamaslatinas.com »,«mamba.ru »,"
    manager.com.br … (список включает более 4000 разных хостов)


    В ходе их анализа также обнаружилась довольно интересная деталь, код некоторых скриптов начинался с комментария:
    HTML:
    /** See www.dealply.com/ for details. *//* JavaScriptJsTagUrl = DealPlyScriptTagUrlMagic; */
    После чего шла упаковка. Если распаковать данные скрипты, то можно обнаружить механизмы определения ПО пользователя и инжекта дополнительных скриптов. Быстрый анализ DealPly показал, что в ней действительно встречаются похожие скрипты, но они подгружают контент с других узлов и не загружают сомнительную рекламу.

    В ходе работы BetterSurf не только встраивает нежелательную рекламу, но и на некоторых ресурсах подменяет оригинальную. Так, например, выглядит главная страница Яндекса с внедрённой в её DOM дополнительной рекламой.
    [​IMG]

    Баннеры постоянно ротируются и иногда переходы по ним могут привести к установке вредоносного ПО.
    [​IMG]

    Возможно злоумышленники интегрировали часть DealPly библиотек в свои агрессивные Adware-программы для удобства, а может быть и для маскировки — точного ответа на этот вопрос у нас нет.

    Второй по распространнености среди пострадавших от Adware пользователей стала программа AddLyrics. Некоторые хэши ее модулей:
    Код (Text):
    aa8b5da964415c138b917953459a735d7d188b0d
    d164a3561886a4a74782bd5887766c2ca4261141
    Это Adware-ПО работает точно также, как и BetterSurf (подгружает скрипты с rvzr-a.akamaihd.net), но обладает некоторыми интересными особенностями. В частности, расширение для Chrome модифицирует HTTP-заголовки для обхода ограничений Content Security Policy. Это позволяет модифицировать DOM веб-страниц, которые применяют этот механизм для защиты своих веб-страниц от изменений. Пример кода, который отключает механизм Content Security Policy, представлен на рисунке ниже.

    [​IMG]

    Анализируя компьютеры пользователей, мы встречали и другие плагины для браузеров, которые подгружали и ижектировали похожие скрипты. Их принцип работы был очень похож — в веб-страницу в браузере загружались различные js-скрипты через инжект в DOM веб-страницы тега <iframe> или <script> (отличались источники скриптов, не все использовали akamaihd.net), но результат их работы был одинаков. Примером такого плагина может быть WeatherBAR.

    Интересно, что нам не удалось найти вредоносных плагинов с подобной функциональностью для Я.Браузера, однако для отображения рекламных веб-страниц в нем использовался механизм запуска .url-файлов через автозагрузку браузера. Эта технология затрагивает и другие браузеры, некоторые детали можно почитать тут.

    Разобравшись в adware-технологиях мы захотели понять, как попадает это рекламное ПО на компьютеры наших пользователей. Поискав похожие жалобы в сети, мы выяснили, что подобные агрессивные adware-программы устанавливаются через установщики-обертки, а также через различные порталы с инсталляторами ПО, которые по-видимому недостаточно оперативно модерируются.
    [​IMG]

    Кроме того, часть подобных программ распространяется с фишинговых (и не только) сайтов под видом других полезных программ.

    Подводя итог расследования, можно сделать вывод, что реклама, которая отображалась у пострадавших от adware пользователей, не проходит модерации в крупных баннерных сетях, может содержать шокирующие изображения и заведомо ложную информацию, вести на вредоносные и мошеннические сайты.

    Показ такой рекламы на страницах крупных, популярных интернет-ресурсов подрывает их имидж, раздражает пользователей, вызывая их отток, приводит к шквалу обращений в техническую поддержку. Подмена оригинальной рекламы ухудшает монетизацию, снижает прибыль и возможность дальнейшего развития порталов. В некоторых случаях, вместо рекламы в страницу вставляются блоки drive-by-download атак, заражающие компьютеры вирусами.

    Кроме того, легальные программы, под видом которых на некоторых ресурсах отдается Adware, становятся жертвами отрицательных отзывов и негативного общественного мнения в сети, их рейтинги падают и монетизация также ухудшается.

    Столкнувшись с таким комплексом проблем и многочисленными жалобами, мы решили предупреждать наших пользователей о наличие на веб-сайте потенциально нежелательных программ. Теперь Яндекс определяет сайты, предлагающие скачать сомнительное ПО отдельно или в составе программ-обёрток. В результатах поисковой выдачи напротив подобных веб страниц отображается специальное предупреждение.

    Берегите свои сайты, серверы и своих пользователей, не распространяйте adware и не размещайте в нём рекламу своей компании, чтобы не скомпрометировать её.

    источник.
     
    dantist433, Kиpилл, Voldemar2007-72 и 4 другим нравится это.

Поделиться этой страницей