Исследователи в области информационной безопасности из компании Armorize обнаружили в рекламной сети Google DoubleClick объявления, просмотр которых приводит к незаметной загрузке эксплойтов.

"За последние несколько дней наши сканеры обнаружили в сети Google DoubleClick вредоносные рекламные объявления. Эти объявления были предоставлены DoubleClick компанией Adify, компания Adify получила эти объявления от компании Pulpo Media, а компания Pulpo Media получила их от злоумышленников, притворяющихся рекламодателями: indistic.com, - предупреждают эксперты из Armorize. - Объявления провоцируют браузер жертвы к загрузке эксплойта с домена kokojamba.cz.cc, на котором расположен набор эксплойтов из пакета BlackHole. На данный момент этот вредоносный код могут обнаружить 7 из 44 поставщиков антивирусных решений на сайте VirusTotal."

За последние годы вредоносные рекламные объявления стали довольно распространёнными. Создатели таких объявлений используют техники социальной инженерии и персонацию для того, чтобы склонить рекламные сети к приёму своих объявлений, после чего через эти объявления начинает передаваться вредоносный код. Многие крупные сайты уже страдали от подобных объявлений. Среди них - Yahoo! Philippines, Spotify, Al Jazeera, Autotrader.co.uk и другие.

Обычно атакующие пытаются разместить свои объявления на сайтах напрямую, а не через рекламные сети, так как сотрудники рекламных сетей достаточно подготовлены и перед размещением производят тщательные проверки объявлений. Однако и рекламные сети иногда попадаются на уловки злоумышленников, особенно если в деле участвуют доверенные посредники.

В декабре прошлого года Armorize обнаружила масштабную атаку с помощью вредоносных объявлений, затронувшую как рекламную сеть Google DoubleClick, так и rad.msn.com - сервер, используемый Microsoft для предоставления рекламных объявлений различным сайтам, включая Hotmail и MSN.

Вредоносные рекламные объявления традиционно использовались для продвижения мошеннических антивирусных программ, но в последнее время они стали использоваться для поставки вредоносного кода, задействующего уязвимости в устаревших версиях приложений.

Инструментарий BlackHole, использующийся в описанной атаке, на данный момент является наиболее популярным набором для организации незаметных загрузок эксплойтов. Эксплойты из этого набора используют уязвимости в браузерных плагинах Java, Adobe Flash Player и Adobe Reader, а также в самих операционных системах Windows.

Для защиты от подобных атак пользователям рекомендуется использовать новейшие версии приложений и антивирус, способный анализировать веб-траффик.