Рекламная сеть использует DGA-алгоритм для обхода блокировщиков и внедрения майнеров

рекламная сеть

Команда Qihoo 360 Netlab обнаружила, что некая рекламная сеть скрывает криптовалютные майнеры внутри рекламных баннеров на клиентских сайтах. Кампания началась в декабре 2017 года. Кроме того, сеть нашла способ обходить рекламные блокировщики.

Обход блокировщиков

Рекламная сеть использует алгоритм генерации доменов (DGA) для регистрации уникальных доменных имен. К ним зараженный хост подключается для получения новых команд от главного сервера команд и контроля (С&C).

DGA очень эффективен, так как только автор вредоносного ПО знает, как работает алгоритм. Он регистрирует домены заранее, зная, что вредоносная программа будет подключаться к нему в какой-то момент времени в будущем. Типичный пример такого домена: [az]{8,14}.(bid|com). Исследователи не раскрывают имя сети, но упоминают ее как DGA.popad.

Ниже представлено несколько примеров таких доменов:

майнинг

Для проверки данного факта исследователи посетили один из веб-сайтов. Как только они перешли на страницу, загрузка процессора взлетела до 100 %:

загрузка процессора

Также исследователи убедились в том, что favicon.ico c сайтов DGA.popad работает как веб-майнер:

майнер

Как сеть использует DGA

DGA.popad также использует DGA для создания новых доменов с регулярными интервалами. Цель этих доменов — резервное копирование. Они производят его, если пользователи, просматривающие объявления сети, используют блокировщик рекламы. Исследователи Netlab отметили два алгоритма действия сети.

Если пользователь не использует блокировщик объявлений, то он получает рекламу прямо с основных доменов. Затем сеть выгружает копию Coinhive для майнинга Monero на сайте. Если же пользователь использует блокировщик, то реклама загружается с альтернативного домена, сгенерированного с помощью DGA.

В этих случаях DGA чрезвычайно эффективен: к тому времени как блокировщик рекламы выявит очередные домены, из которых идет реклама, рекламная сеть сгенерирует с помощью DGA новые домены. Это значит, что сеть постоянно имеет дополнительную порцию доменов, еще не внесенных в черный список блокировщика.

Согласно данным исследователей Netlab, некоторые из случайных доменов, созданных DGA рекламной сети, получают так много трафика, что один из них вошел в Alexa Top 2000.

Источник: Bleeping Computer

Ещё интересное для вас:
— Биты, байты, Ада Лавлейс — тест на знание околоIT.
— Level Up — события и курсы, на которых можно поднять свой уровень.
— Работа мечты — лучшие IT-вакансии для вас.