maanantai 10. helmikuuta 2014

Aftonbladetin mainosbanneri levitti haittaohjelmaa

Tritax Family - Fake AVHakkerit olivat saaneet ujutettua Ruotsalaisen iltapäivälehti Aftonbladetin verkkojulkaisuun mainosbannerin joka levitti FakeAV-haittaohjelmaa.

Hakkerit löysivät mahdollisuuden muuttaa verkkosivujen omia mainosbannereita, ne yksinkertaisesti muutettiin niin että klikkaus ohjaa käyttäjän muualle kuin mainoksen alkuperäiseen sijaintiin, ulkoisesti manipuloitua mainosbanneria ei erota alkuperäisestä.

Mikäli käyttäjä on saastunutta mainosta klikannut, avautuu hänelle Microsoftin Security Essentials virustorjunta ohjelman varoitusta muistuttava ikkuna joka väittää että tietokoneelta olisi löytynyt viruksia ja muita haittaohjelmia, ikkuna tarjoaa mahdollisuuden poistaa uhat tarjoamalla “Clean computer” -painiketta, todellinen virus vastaa asentuu uhrin tietokoneelle mikäli hän painaa kyseistä painiketta.

(c) Kaspersky

Painikkeen painalus asentaa tietokoneelle FakeAV -haittaohjelman, ohjelmaa on käytetty muun muassa bottiverkkojen laajentamiseen.

Todellisuudessa käyttäjä ei näe ohjelman ikkunaa vaan selaimen ponnahdusikkunan josta on poistettu kaikki selaimeen viittavat osat, tarkemmin kyseinen selainikkuna on täytynyt avata Internet Explorer selaimella, mikäli käyttäjällä on ollut mainosta klikatessa jokin muu selain, ei hänelle haittaohjelmaa voi tarttua, ainakaan samalla tavalla.

Internet Explorer on ainut selain tällä hetkellä joka hyväksyy kolmansien kolmannen tason linkkien avaamisen (mainos saa oikeuden avata ponnahdusikkunan).

Viestintäviraston kyberturvallisuuskeskus uskoo että saastuneita mainoksia saattaa olla myös Suomalaisissa verkkopalveluissa:

“Haittaohjelmia tarjoilevia mainoksia saattaa esiintyä myös hyvämaineisilla ja luotetuilla sivustoilla, joten verkon käyttäjän on syytä olla varuillaan myös vieraillessaan turvallisiksi mieltämillään sivuilla. Haittaohjelman saastuttamille verkkosivuille voi olla linkkejä myös suomalaisilta verkkosivustoilta.

Käyttäjä voi suojata tietokonettaan haittaohjelmilta käyttämällä virustorjunnasta ja verkkoselaimesta viimeisimpiä versioita. Myös selaimen liitännäiset, kuten Adobe Flash Player ja Oracle Java on syytä päivittää aina viimeisimpään versioonsa. Verkkosivujen pop-up – ikkunoihin, jotka aukeavat ilman käyttäjän toimia, tulee suhtautua varauksella.

Mikäli käyttäjä on klikannut linkkiä ja ajanut ladattavan ohjelman, tulee tietokone puhdistaa luotettavalla virustorjuntaohjelmalla välittömästi.” -Kyberturvallisuuskeskus mainitsee verkkosivuillaan.

Aftonbladet on poistanut kyseisen haittaohjelmaa levittävän mainoksen mutta on hyvin mahdollista että sivustolla voi olla myös muita mainoksia jotka ovat saastuneita.

Aftonbladetin lisäksi myös muissa verkkosivustoissa kuten Dailymotionissa sekä Yahoon etusivulla. on tavattu samankaltaista mainoksiin liittyviä tietoturva-uhkia joissa on käytetty samaa FakeAV -haittaohjelmaa joka kuuluu niin sanottuun Tritax Familyyn.

LÄHDE: Viestintävirasto - Kyberturvallisuuskeskus / Tietoturva nyt!