گسترش Asprox با تبلیغات

شرکت AppNexus در ساخت تبلیغات بلادرنگ اینترنتی شهرت دارد. سرورهای  AppNexus در هر روز 16 میلیارد تبلیغ اینترنتی را پردازش می کنند. این تعداد پردازش AppNexus را در رتبه بعد از گوگل قرار داده است.

اما وب سایت های میزبان تبلیغات AppNexus دوباره مکانی برای نفوذ بدافزارها به سیستم های کاربران شدند. بدافزارAsprox  که بر اساس بدافزار Angler توسعه یافته است، با استفاده از این تبلیغات، کاربران را به سایت های مخرب هدایت می کند.

در حمله چند ماه پیش، هدف، پلتفورم های سیلورلایت مایکروسافت با استفاده از تبلیغات AppNexus بودند. یکی از بزرگترین سایت هایی که از سیلورلایت استفاده می کرد، Netflix بود.

 در حمله جدید، کاربران سایت های Java.com، Deviantart.com، TMZ.com، Photobucket.com، IBTimes.com، eBay.ie، Kapaza.be و TVgids.nl مورد هجوم قرار گرفتند. کاربران بوسیله تبلیغات موجود در این سایت ها، به سایت های مخرب هدایت می شوند. بعد از وارد شدن به سایت های مخرب، بدافزار بات نت بر روی سیستم کاربر نصب می شود و پس از آن سیستم کاربر بخشی از یک بات نت است.

به یک مسئله باید توجه کرد. نیازی نیست که کاربر حتما بر روی تبلیغات مخرب کلیک کند تا آلوده شود. بلکه آلوده شدن کاربر کاملا مخفیانه و تنها بعد از بارگذاری تبلیغ مخرب توسط مرورگر کاربر، انجام می گیرد.

بدافزار Asprox ابتدا بررسی می کند که آیا مرورگر کاربر، نسخه های قدیمی جاوا، فلش پلیر و سیلورلایت را پشتیبانی می کند. سپس بدون آنکه کاربر متوجه شود، بدافزار بات نت Asprox را نصب می کند.

بدافزار Asprox یک بدافزار بات نتی است. با نصب آن بر روی سیستم کاربر، آن را تبدیل به یکی از اعضای بات نت می کند. ویژگی های جدید اضافه شده به این بدافزار می توان به اسکن وب سایت ها برای یافتن آسیب پذیری و سرقت حساب کاربری آن ها اشاره کرد.

هنگامی که کاربر وب سایتی که تبلیغات مخرب در آن نمایش داده می شود را بارگذاری کرد، به طور نامحسوس به ads[.]frmmotion[.]com منتقل می شود. سپس به دامنه های دیگری مانند gloriousdead[.]com و taggingapp[.]com هدایت می شود.

این بدافزار از پورت 37702 استفاده می کنند. استفاده از شماره پورت های بزرگ، یکی از بهترین روش ها به منظور گریز از شناسایی توسط نرم افزارهای امنیتی است که ارتباط های HTTP را بررسی می کنند.