Новая атака Shnakule через поддельные рекламные объявления

Blue Coat Systems Inc, ведущий разработчик систем Web-безопасности и WAN-оптимизации, сообщил об определении новой массированной атаки, замаскированной под рекламу антивируса. Поддельные рекламные объявления антивирусных решений направляют пользователей в Shnakule, самую опасную сеть распространения вредоносного контента в Internet. Сервис Blue Coat WebPulse автоматически определил эту атаку и обеспечил проактивную защиту более 75 миллионов своих пользователей.

Сеть Shnakule является самой активной сетью распространения вредоносного контента с точки зрения динамики и эффективности. В среднем, Shnakule прибавляет по 2000 уникальных хостов в сутки, а пиковая цифра превышает 4300 хостов в сутки, при этом WebPulse фиксирует более 21 000 запросов ежедневно. Shnakule активно использует атаки с псевдо-антивирусами, генерируя большое количество вредоносных ссылок в поисковой выдаче. «Инновацией» последней атаки стали поддельные рекламные объявления. На сегодняшний день служба Blue Coat WebPulse фиксирует более 15 тысяч запросов, связанных с последней формой атаки. Эта атака состоит из трех этапов. На первом этапе были созданы ресурсы – источники вредоносных объявлений, как независимые субъекты, непосредственно не связанные друг с другом или подсетями Shnakule. На втором – эти новые “чистые” ресурсы, источники вредоносных объявлений, перенаправляют пользователей на сервера подсети Shnakule с вредоносным ПО. И только на заключительном этапе происходит заражение систем. Переменная нагрузка помогает вирусу избежать обнаружения существующими системами антивирусной защиты. Так как подключения осуществляются к элементам, которые ранее были определены сервисом Blue Coat WebPulse как часть сети Shnakule, решения Blue Coat способны блокировать атаку до начала заражения.

В текущей атаке ни один из вредоносных ресурсов не появлялся под своим именем, вместо этого на вполне легитимные сайты попадали объявления с рекламных сервисов. Все вредоносные ресурсы были зарегистрированы разными регистраторами, по крайней мере, за месяц до начала атаки, что позволило убедить сервисы рекламных площадок в благонадежности их объявлений.

«Первые признаки этой атаки были выявлены в конце июня, но она все еще продолжает набирать обороты, а, согласно последнему тестированию антивирусных решений 43 производителей, только два из них определили этот вирус как вредоносный или подозрительный.» – говорит Крис Ларсен (Chris Larsen), старший исследователь вредоносных программ Blue Coat Systems – «Интернет-угрозы слишком быстро развиваются, потому традиционной антивирусной защиты недостаточно. Наиболее успешной стратегией защиты в данном случае будет безопасность, основанная на принципе сервиса WebPulse, с возможностью корреляции данных, автоматического определения и блокировки сетевых подключений, несмотря на шифрование.»

Blue Coat WebPulse – сервис, который обеспечивает защиту более 75 миллионов пользователей во всем мире, обрабатывая более 3 млрд. запросов в неделю. WebPulse имеет глобальную картину активности пользователей в сети Internet. Благодаря корреляции запросов пользователей, Blue Coat обеспечивает уникальную защиту своих клиентов от атак из сетей доставки вредоносного контента.

О компании
Компания Blue Coat Systems является ведущим поставщиком решений веб-безопасности и оптимизации WAN. Компания Blue Coat предоставляет решения, которые обеспечивают мониторинг, ускорение и безопасность, необходимые для оптимизации и безопасного обмена информацией для каждого пользователя в любой сети. Отслеживание приложений позволяет предприятиям привести инвестиции по управлению сетями в соответствие с бизнес-требованиями, ускорить принятие решений и обеспечить защиту бизнес-приложений для долгосрочного повышения конкурентоспособности. Кроме того, компания Blue Coat предоставляет решения по поставке услуг для управляемой безопасности и оптимизации WAN, а также решения по кэшированию операторского класса для экономии пропускной способности и упрощения работы в Интернете для конечного пользователя.