Рекламная сеть использует DGA-алгоритм для обхода блокировщиков и внедрения майнеров
Об этом стало известно совсем недавно, а сеть использует алгоритм с декабря 2017 года. Конфронтация между компаниями рекламной сети и плагинами блокировки рекламы не является чем-то новым, однако использование DGA-доменов привлекло внимание исследователей.
Команда Qihoo 360 Netlab обнаружила, что некая рекламная сеть скрывает криптовалютные майнеры внутри рекламных баннеров на клиентских сайтах. Кампания началась в декабре 2017 года. Кроме того, сеть нашла способ обходить рекламные блокировщики.
Обход блокировщиков
Рекламная сеть использует алгоритм генерации доменов (DGA) для регистрации уникальных доменных имен. К ним зараженный хост подключается для получения новых команд от главного сервера команд и контроля (С&C).
DGA очень эффективен, так как только автор вредоносного ПО знает, как работает алгоритм. Он регистрирует домены заранее, зная, что вредоносная программа будет подключаться к нему в какой-то момент времени в будущем. Типичный пример такого домена: [az]{8,14}.(bid|com). Исследователи не раскрывают имя сети, но упоминают ее как DGA.popad.
Ниже представлено несколько примеров таких доменов:
Для проверки данного факта исследователи посетили один из веб-сайтов. Как только они перешли на страницу, загрузка процессора взлетела до 100 %:
Также исследователи убедились в том, что favicon.ico c сайтов DGA.popad работает как веб-майнер:
Как сеть использует DGA
DGA.popad также использует DGA для создания новых доменов с регулярными интервалами. Цель этих доменов — резервное копирование. Они производят его, если пользователи, просматривающие объявления сети, используют блокировщик рекламы. Исследователи Netlab отметили два алгоритма действия сети.
Если пользователь не использует блокировщик объявлений, то он получает рекламу прямо с основных доменов. Затем сеть выгружает копию Coinhive для майнинга Monero на сайте. Если же пользователь использует блокировщик, то реклама загружается с альтернативного домена, сгенерированного с помощью DGA.
В этих случаях DGA чрезвычайно эффективен: к тому времени как блокировщик рекламы выявит очередные домены, из которых идет реклама, рекламная сеть сгенерирует с помощью DGA новые домены. Это значит, что сеть постоянно имеет дополнительную порцию доменов, еще не внесенных в черный список блокировщика.
Согласно данным исследователей Netlab, некоторые из случайных доменов, созданных DGA рекламной сети, получают так много трафика, что один из них вошел в Alexa Top 2000.
1К открытий1К показов
Составили подборку новостей из мира IT. JetBrains и Binance ушли из России, выпущены новая Raspberry Pi и открытая языковая модель Mistral AI.
Технические основы СЕО для программистов: что нужно знать о мета-тегах, микроразметке, UX/UI, карте сайта, коде 404, подзаголовках.
Редактирование текстов, перевод с озвучкой и саммари видео — новые нейронки в Яндекс.Браузере.
На платформе доступны новые инструменты, ускоряющие разработку, реализован чат в GigaCode, а пользоваться GitVerse теперь может малый и средний бизнес.