Check Point の研究者が Master134 と呼ぶ大規模な悪意のあるキャンペーンについての調査レポートを出していた。
私にはちょっと難しかったので、以下を参考に読み解きながらまとめてみた。
感染経路
0. 脆弱性を突かれてハッキングされた WordPress v.4.7.1 が多数存在 ↓ 1. ハッキングされたサイトが、 ユーザをリモートサーバ(IPアドレス:134.249.116[.]78)上の JavaScript へとリダイレクトする ↓ 2. IPアドレス 134.249.116[.]78 は、 ユーザを Ad-Network が所有する広告ページにリダイレクトする ↓ 3. Ad-Networkは、 ユーザーを悪意あるサイトにリダイレクトする ↓ 4. ユーザが、 マルウェアに感染するなど被害に会う
チェックポイントの研究者は、 IPアドレス 134.249.116[.]78(以下、Master134 と呼ぶ)に属するサーバを所有する当事者が、 感染経路の窓口(漏斗)であるとしている。
また、感染経路の出発点はハッキングされた 1万を超える数の WordPress v.4.7.1(RCE の脆弱性を持つ) と PUP (Potentially Unwanted Program) だったとしている。
概要の図は元記事のものが一番わかり易い。
お金の流れ
最終的にトラフィックを受け取る攻撃者(Malvertisers)が Master134 に対価を支払い、Ad-Network には Master134 から支払いがされているのだろうと レポートには書かれていた。
感想
広告ネットワークってユーザもリダイレクトされてしまうものなのか。
- トラフィックの売買を広告ネットワークを介して成立させている
- 既存の正規サイトのユーザを悪意あるサイトに誘導できる
分業するには良さそうな方法に思えた。
前にもトラフィックの売買というキーワードを聞いた気も。
