• ScamClub используют VAST-теги для перенаправления пользователей на мошеннические сайты.
• С помощью обфускации ScamClub вставляет вредоносные скрипты в элементы MediaFile в VAST.
• Для защиты от таких атак необходимо использование проверки в реальном времени.

В конце прошлого года ScamClub, организованная киберпреступная сеть, стала использовать VAST-теги с зашифрованными скриптами для осуществления редиректов на вредоносные сайты. Редирект происходит вне зависимости от того, посмотрел ли пользователь рекламу.

В январе количество таких атак возросло. Впервые рынок столкнулся со столь масштабной проблемой в форматах #видеорекламы, которые традиционно считались безопасными. Издатели предполагали что высокая стоимость такого трафика сама по себе защитит такой инвентарь от мошенников. Поэтому им не нужно было внедрять здесь средства защиты. Этим и воспользовались преступники.

Около десятка крупных SSP и DSP в разных регионах мира пострадали от этих атак. Основной удар пришелся на мобильные устройства в США, на которые пришлось около 60% таких атак.

Итак, кто стоит за этими атаками и как они работают?

ScamClub

Эта организованная группировка занимается мошенничеством с рекламой с 2018 года. ScamClub использует сложные механизмы, такие как обфускацию и собственные сервера, для распространения своих вредоносных кодов.

Как это работает

Это чрезвычайно сложная атака с множеством механизмов, предотвращающих обнаружение и реверс-инжиниринг службами безопасности.

• Шаг 1: ScamClub размещает вредоносный код в элемент MediaFile тега VAST. Обычно этот элемент вызывает рекламный ролик. На этом этапе собираются данные о клиенте, а также скрипт пытается проверить что его не вызывают средства безопасности (если такой вызов обнаружен, то атака не будет развернута).
• Шаг 2: Выполнение вредоносного зашифрованного обфусцированного скрипта. Первым делом скрипт проверяет клиента в поисках известных ему целей.
• Шаг 3: Информация передается на сервер злоумышленников. Скрипт делает запрос на вредоносный сервер, которому передается информация об устройстве пользователей, установленных программах и веб-странице, с которой произошел вызов. На этом этапе мошенники делают еще одну проверку, чтобы удостоверится, что их действия не раскрыты.
• Шаг 4: После того как информация от клиента отправлена и проверена сервером, возвращается ответ на POST-запрос, содержащий инструкции, которые указывают устройству пользователя перейти на новый веб-сайт. Этот код перенаправления включает в себя несколько различных методов, позволяющих инициировать принудительное перенаправление. Такая диверсифицированная стратегия атаки увеличивает шансы на успешное перенаправление, что затрудняет обнаружение и идентификацию атаки системами безопасности.
• Шаг 5: Первый домен, полученный с помощью кода, запускает цепочку редиректов, перебрасывающую пользователя на вредоносный сайт. Это последний шаг: они доставили трафик своим клиентам, которые пытаются обмануть пользователя.

Защита вашего инвентаря

Лучший способ защиты для издателя — обеспечить защиту в режиме реального времени, которая проверяет поставляемую видеорекламу.

Кроме того, рекламным платформам следует увеличить частоту сканирования своих видеорекламных каналов, так как они не так безопасны, как считалось ранее.

Издателям

Необходимо предпринять меры для защиты своих рекламных каналов.

Прогноз

Атаки будут становится более изощренными, что потребует новых и более продвинутых способов защиты.

Другие материалы по этой теме:

• Обновление руководства MRC по определению некачественного трафика
• «Сайты под рекламу» — новая проблема рекламного рынка
• Рекламодатели платили за объявления на Forbes.com, но часть рекламы попадала на подставной сайт
• DSP обвиняют SSP и издателей в манипуляциях с пользовательскими данными