A Google hirdetési rendszerét, az AdSense szolgáltatást használták a Nuclear készítői arra, hogy több millió internetezőt fertőzzenek meg az Adobe Flash Player egy ismert sérülékenységén keresztül. Ezt a fajta támadást nevezik angolul "malvertising"-nak a hirdetés (advertising) és a kértevő (malware) összemosásából.
A G Data azt észlelte, hogy hirtelen megnövekedett azon támadások száma, amelyek ezt a már ismert sérülékenységet próbálják kihasználni. A német vírusirtó cég megvizsgálta a dolgot, és arra jutott, a világ legnagyobb online hirdetési hálózatát használták fel, hogy több millió internetezőt érjenek el.
Szemléltetésképp az AdSense-n keresztül az első százezer legnépszerűbb portál 12 százaléka jelenít meg hirdetéseket. A modern weboldalak szinte mindegyikén található banner: minél népszerűbb a honlap, annál több pénzt lehet keresni a hirdetés elhelyezésével.
A bannereket használják fel a hackerek
Persze a hackerek is fantáziát láttak a bannerek felhasználásában, sok esetben nyúltak már bele és alakították át őket saját céljaik szerint. Egyre többször lehet hallani róla, hogy feltörték egy cég szerverét, az internetezők pedig reklám helyett egy kártevőt kaptak a hirdetésre kattintva.
A CVE-2015-0336 számon nyilvántartott sérülékenység tavaly december elején vált ismertté, a hivatalos javítócsomagot pedig az ezt kihasználó támadások előtt kidobták. Ugyanakkor rengeteg céges- és magánfelhasználó nem telepíti a biztonsági frissítéseket, mert úgy gondolja, ha egy rendszer jól működik, ahhoz nem szabad hozzányúlni. "Ez a felfogás aranybánya a kártevők készítői számára" - mondta Ralf Benzmüller, a G Data víruslaboratóriumának vezetője.
A Nuclear exploit kit március óta használja ki ezt az egyébként javított sérülékenységet, a G Data pedig tíz napja ismerte fel, hogy a bűnözők a Google hirdetési felületén keresztül terjesztik a kártevőket. Jelen esetben az engagelab.com oldalát törhették fel, és a bolgár cég nevében töltöttek fel hirdetéseket, amelyek a kártevőt terjesztették. Arra ugyanakkor a G Data nem lát rá, hogy mások is érintettek voltak-e, és elég volt egy bannert tartalmazó honlapra felmenni, vagy rá is kellett kattintani a hirdetésre, de nagy valószínűséggel az utóbbi.
Alapesetben ha egy weboldal a Google AdSense rendszerén keresztül érkező hirdetést jelenít meg, a banner tartalmát a keresőóriás határozza meg egy Java szkripttel. Ez a kód tölti le a megjelenítendő tartalmat a hirdető szerveréről. A támadás során azonban a szkript tartalmazott egy iFrame hivatkozást, amely egy fertőzött oldalra mutatott. Így az internetezők ha meglátogattak egy portált, úgy ahogy máskor is, fertőzésnek voltak kitéve.
A G Data szoftvere a külső alkalmazások ellen is védelmet nyújt, a visszajelzések alapján észlelték a mostani problémát is. A cég mindenesetre hangsúlyozta, a biztonsági frissítések rendszeres telepítése rendkívül fontos a megfelelő védelemhez.