News Firma walcząca z AdBlockiem rozprzestrzeniała złośliwy kod

Użytkownicy AdBlocka mogli paść ofiarą ataku cyberprzestępców, którzy wykorzystali do rozprzestrzeniania złośliwego kodu firmę PageFair. Działa ona na rzecz reklamodawców zajmując się walką z blokującymi wtyczkami.

Wielu internautów walczy z nachalnymi reklamami (niekiedy również niebezpiecznymi, ponieważ wykorzystywanymi przez cyberprzestępców do rozsiewania za pomocą treści promocyjnych złośliwego kodu) stosując blokujące wtyczki, przede wszystkim AdBlock. Takie działania są oczywiście nie na rękę reklamodawcom. Korzystają oni więc z usług firm dostarczających narzędzia, które po wykryciu stosowania przez internautę wtyczki wyświetlają okno namawiające do ustalenia wyjątku, lub blokują dostęp do treści strony.

Jak się okazuje, jedna z takich firm, PageFair, padła ofiarą ataku cyberprzestępców, którzy wykorzystali ją do dystrybucji złośliwego kodu. W efekcie internauci korzystający z AdBlocka (i innych wtyczek blokujących) mającego m.in. poprawić ich bezpieczeństwo napotkali podczas wejścia na różne strony komunikat informujący o potrzebie aktualizacji Flash Playera:

Ci z nich, którzy zdecydowali się na kliknięcie w przycisk OK pozwolili na wstrzyknięcie do swojego urządzenia złośliwego kodu.

Jak mogło dojść do ataku?

Firma PageFair, która wykorzystana została do ataku chronologicznie opisała, jak do tego doszło:

- jeden z pracowników nabiera się na fałszywą wiadomość i wprowadza hasło do poczty na spreparowanej stronie

- atakujący resetują hasło dostępowe do sieci Content Distribution Network, która odpowiada za wyświetlanie użytkownikom narzędzi blokujących reklamy specjalnego skryptu

- standardowy komunikatu zostaje podmieniony na informację o braku aktualnej wtyczki Flash wymuszając pobranie pliku adobe_flashplayer_7.exe

PageFair twierdzi też, że zauważyła działania cyberprzestępców po 5 minutach. Dzięki wszczętym szybko działaniom naprawczym do infekcji dochodziło ponoć przez zaledwie 83 minuty.