Эксперты по безопасности вновь обвиняют компанию Google в пособничестве хакерам. По данным компании Exploit Prevention Labs, системой контекстной рекламы Google AdSense вновь воспользовались для рекламы сайтов, содержащих злонамеренное ПО, ориентированное на инфицирование компьютеров пользователей.
По словам Роджера Томпсона, технического директора Exploit Prevention Lab, его компания обнаружила в рекламных ссылках Google AdSense информацию о сайтах, которые на поверку оказались ресурсами злоумышленников, рассчитывающих при заражении компьютеров пользователей выкрасть у последних персональные данные.
"Пугает то, что данная тактика может стать крайне популярной у злоумышленников, так как системы контекстной рекламы чаще всего имеют дело с массой компаний, проверять всех площадки просто не могут" - предупреждает Томпсон.
По словам экспертов, данный случай весьма показателен, так как на его примере можно весьма четко отследить тенденцию, которая может стать очень популярной. Томпсон замечает, что для рекламы пары хакерских ресурсов злоумышленники использовали довольно обширный набор ключевых слов, при нахождении которых на сайте-рекламной площадке выдается рекламное сообщение злоумышленников. Кроме того, в тексте объявления был указан один сайт, причем довольно респектабельный и не вызывающий сомнений, однако при клике на ссылку, пользователи мгновенно переходили на ресурс, содержащий код и не имевший никакого отношения к рекламе.
Для проникновения на компьютеры пользователей в данном случае использовался злонамеренный веб-код, использующий уязвимость в системе Microsoft Data Access Components (MDAC), позволяющую открыть "черный ход" на компьютер под управлением Windows.
В Exploit Prevention Lab напоминают, что за последние три года именно в данном компоненте уже трижды обнаруживались уязвимости, последняя из которых датирована февралем 2007 года и относится к классу критических.
Еще одна хитрость, по словам Томпсона, заключается в том, что после того, как код с данного сайта был внедрен и хакеры фактически получили систему в свое распоряжение, происходит редирект на легитимный рекламируемый сайт (в случае данной рекламы это сайт cars.com), таким образом, пользователи, обладающие быстрым интернет-соединением и мощным компьютером могут вообще не заметить ничего подозрительного.
В компании отмечают, что данная атака была довольно непродолжительной, так как домен для сайта злоумышленников был зарегистрирован 2 апреля 2007 года, а рекламный блок снят уже 10 апреля.
Для того, чтобы хоть как-то противостоять подобным методам "рекламы" эксперты призывают авторов сервисов контекстной рекламы точнее отслеживать партнерские программы, а кроме того, публиковать фактический URL, который ведет на рекламируемый сайт.
В самой Google от публичных комментариев по данному случаю отказываются, однако говорят, что на сегодня ссылки уже удалены.
cybersecurity.ru