Хакеры используют сайты, которые вы посещаете ежедневно, чтобы атаковать вас — как защититься

Что случилось

В последних инцидентах злоумышленники использовали рекламные сети, чтобы доставить вредоносный код посетителям широко известных сайтов: New York Times, BBC, MSN, Answers.com, AOL и многим другим. Механика атаки называется malvertising — при показе рекламного блока на странице выполняется код, который пытается найти уязвимости в браузере и плагинах посетителя.

По данным исследователей, злоумышленники использовали эксплойт-кит Angler. Если эксплойт срабатывал, на машине жертвы могли быть установлены либо шифровальщики (например, TeslaCrypt), либо трояны вроде Bedep, которые затем загружали дополнительный вредоносный софт.

В одном из расследований компания Trustwave отметила: злоумышленники регистрировали или выкупали просроченные домены маркетинговых компаний, чтобы выглядеть как легитимные рекламодатели, затем покупали рекламные места в крупных сетях (DoubleClick, AppNexus, Rubicon, AOL и других) и внедряли вредоносный код в объявления.

Код был настроен так, чтобы не заражать машины с определёнными антивирусными продуктами — он «отфильтровывал» защищённые цели и пробовал атаковать те устройства, где находил устаревшие браузеры или плагины вроде Adobe Flash, Java или Silverlight.

Почему это работает

• Рекламные сети агрегируют объявления от множества сторонних продавцов. Это даёт злоумышленникам путь к аудитории без прямого размещения на целевом сайте.
• Вредоносный код может ориентироваться на уязвимости в конкретных версиях ПО на клиентской стороне (браузер, плагины).
• Пользователи и организации часто отстают с обновлениями и разрешают автоматическое исполнение плагинов, что значительно повышает риск.

Важно: malvertising не всегда требует клика по объявлению. В ряде случаев достаточно просто загрузить страницу с скомпрометированным рекламным блоком.

Быстрый чеклист защиты

• Установите все обновления ОС, браузера и расширений — автоматические обновления предпочтительны.
• Отключите или переведите в режим «click-to-play» плагины: Flash, Java, Silverlight.
• Используйте блокировщики рекламы и сценариев (AdBlock Plus, uBlock Origin, NoScript/uMatrix) — они блокируют загрузку сторонних скриптов.
• Работайте под обычной (неадминистраторской) учётной записью — это ограничивает привилегии для установки ПО.
• Поддерживайте актуальные антивирусные и антишпионские базы, периодически запускaйте полные проверки.
• Делайте регулярные резервные копии важных данных и проверяйте процесс восстановления.
• Ограничьте права браузера: включите песочницу (sandbox) и используйте современные браузеры с хорошей историей безопасности.

Важно: если вы используете корпоративную сеть, настройте фильтрацию DNS/URL и контроль выполнения скриптов на уровне прокси/файрвола.

Пошаговый план действий при подозрении на заражение

1. Отключите компьютер от сети (Wi‑Fi/кабель) и внешних носителей.
2. Не вводите пароли и избегайте использования онлайн-банкинга с этого устройства.
3. Запустите устройство в безопасном режиме и выполните полную проверку антивирусом и антишпионским ПО.
4. Если обнаружено шифрование файлов (ransomware): не спешите платить выкуп — сначала попытайтесь восстановить файлы из резервной копии.
5. При невозможности очистки — восстановите систему из чистой резервной копии или переустановите ОС.
6. Смените пароли на важных сервисах с чистого устройства.
7. Сообщите в ИТ‑службу (в организации) или в соответствующие службы поддержки и, при необходимости, в правоохранительные органы.

Критерии приёмки: устройство загружается без постороннего поведения, антивирус не обнаруживает угроз, резервные копии доступны и неповреждены, пользовательские учётные записи защищены.

Роли: что должен сделать обычный пользователь и что — администратор

Пользователь:

• Немедленно отключиться от интернета при подозрениях.
• Не вводить пароли на заражённом устройстве.
• Сделать резервное копирование важных файлов (если это ещё возможно и безопасно).
• Сообщить об инциденте администратору или в службу поддержки.

Системный администратор / ИТ‑ответственный:

• Изолировать пострадавшие хосты и провести форензику логов и сетевого трафика.
• Проверить поставщиков рекламного трафика и временно заблокировать подозрительные источники.
• Обновить правила на прокси/файрволе и применить список блокируемых доменов.
• Восстановить системы из резервных копий и провести аудиты уязвимостей.

Мини‑методика проверки безопасности браузера (четыре шага)

1. Обновление: проверьте версию браузера и все плагины, примените патчи.
2. Конфигурация: включите автоматическое обновление, включите click-to-play для плагинов.
3. Контроль: установите блокировщик рекламы и скриптов, отключите сторонние расширения без доверия.
4. Тест: откройте сайт для проверки безопасности (из доверенных источников) и убедитесь, что сторонние скрипты блокируются.

Критерии приёмки: плагины не запускаются автоматически, страница не загружает контент с незнакомых доменов, антивирус не пытается блокировать вредоносные элементы.

Примеры альтернативных подходов и ограничения

• Аппаратный подход: использование виртуальных машин или отдельных рабочих станций для серфинга с высокорисковыми сайтами. Плюс: изоляция заражения; минус: сложнее в повседневном использовании.
• Корпоративный подход: применять прокси‑фильтрацию и сторонние решения для анализа рекламного трафика. Плюс: централизованный контроль; минус: требует ресурсов и грамотной настройки.

Когда это не сработает: если вредоносный код использует уязвимости нулевого дня (0‑day) или если пользователь сознательно устанавливает вредоносный софт, базовые меры могут быть недостаточны.

Небольшая шпаргалка / чек-лист (копировать и использовать)

• Автообновления ОС включены
• Браузер и плагины обновлены
• Flash/Java отключены или работают в click-to-play
• Установлен AdBlock/uBlock + NoScript/uMatrix
• Учетная запись — без прав админа
• Регулярные резервные копии настроены
• Антивирус обновлён и проведён полный скан

Модель принятия решений (flowchart)

flowchart TD
  A[Обнаружено подозрительное поведение в браузере?] -->|Да| B[Отключить сеть]
  A -->|Нет| C[Продолжать наблюдение и обновлять ПО]
  B --> D[Запустить сканирование в безопасном режиме]
  D --> E{Вредоносное ПО найдено?}
  E -->|Да| F[Изолировать, восстановить из бэкапа, сменить пароли]
  E -->|Нет| G[Проверить логи, обновить ПО, мониторить]

Краткая глоссарий (одна строка каждому термину)

• Malvertising — доставка вредоносного кода через рекламные блоки.
• Эксплойт‑кит — набор инструментов, автоматически использующий уязвимости в ПО.
• Ransomware (шифровальщик) — программа, шифрующая файлы и требующая выкуп.
• Троян — вредоносная программа, маскирующаяся под легитимное ПО.
• Песочница (sandbox) — изолированная среда выполнения, ограничивающая доступ к системе.

Риски и рекомендации по снижению воздействия

• Риск: масштабные рекламные сети дают охват миллионам пользователей. Рекомендация: использовать многоуровневую защиту (обновления + блокировщики + политика на уровне сети).
• Риск: пользователи с правами администратора могут облегчить установку вредоноса. Рекомендация: выдавать минимально необходимые права и применять принцип наименьших привилегий.

Итог и следующий шаг

Malvertising остаётся эффективным способом распространения вредоносного ПО, потому что он сочетает доверие к крупным сайтам с возможностью вставки стороннего кода. Простые и действенные шаги — регулярные обновления, отключение автозапуска плагинов, использование блокировщиков рекламы и работа не под учётной записью администратора — заметно снижают риск. Если случилось заражение, действуйте по плану: изоляция, сканирование, восстановление из надёжной копии и смена паролей.

Примечание: регулярные резервные копии и отработка сценариев восстановления (DR‑тесты) — это инвестиция, которая всегда окупается в случае инцидента.

Краткое резюме: обновляйтесь, ограничивайте плагины, блокируйте нежелательные скрипты и имейте рабочий план восстановления.