T1583.008: Вредоносная реклама

Злоумышленники могут покупать онлайн-рекламу для распространения вредоносного ПО среди жертв. Они могут покупать рекламу, чтобы размещать артефакты в определенных местах в интернете, например на видных позициях в результатах поисковых систем. Пользователям может быть трудно отличить фактические результаты поиска от рекламных объявлений. Возможности рекламной сети позволяют нацелить купленные объявления на конкретную аудиторию и воспользоваться доверием пользователей к поисковым системам и популярным веб-сайтам.

Злоумышленники могут покупать рекламу и другие ресурсы для распространения артефактов с вредоносным кодом. Купленная реклама может публиковаться от лица известных брендов или имитировать их. Например, поддельная реклама может побудить жертву перейти по ссылке, которая перенаправляет на вредоносный домен, похожий на официальный сайт и содержащий троянизированные версии рекламируемого программного обеспечения. Злоумышленники могут автоматизировать создание вредоносных доменов и покупку рекламы для них, чтобы усложнить их обнаружение и удаление.

Вредоносная реклама может применяться для подготовки теневой (drive-by) среды и реализации теневой (drive-by) компрометации, при этом, если реклама содержит код/эксплойты, внедряемые в веб-браузер целевой системы, для достижения целей злоумышленников может требоваться некоторое минимальное взаимодействие пользователя с ней.

Злоумышленники могут применять различные методы, чтобы избежать обнаружения рекламной сетью. Например, переходы по ссылкам в рекламных объявлениях могут динамически маршрутизироваться, чтобы направлять поисковые роботы и инструменты соблюдения политик на безопасные сайты, а реально интересующие злоумышленников жертвы — на вредоносные. Как следствие, этот вектор заражения может оставаться скрытым от рекламной сети и посетителей, не имеющих действительного идентификатора, получаемого при клике на рекламное объявление, и, как следствие, не попадающих на вредоносный сайт. Могут использоваться и другие приемы обхода автоматического обнаружения, такие как намеренные опечатки в названиях для обхода мониторинга репутации бренда.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

If infrastructure or patterns in the malicious web content related to malvertising have been previously identified, internet scanning may uncover when an adversary has staged malicious web content. Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on other phases of the adversary lifecycle, such as Drive-by Compromise or Exploitation for Client Execution.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should be focused on initial access activities, such as drive by compromise where ad blocking adblockers can help prevent malicious code from executing.