Verkkomainoksiin ujutettu haittakoodia

Viestintäviraston Kyberturvallisuuskeskus on saanut maanantaina 11.4. tietoja suurten uutissivustojen mainosten kautta levitettävistä haittaohjelmista. Tieto koskee tällä hetkellä yhtä suomalaista uutissivustoa. Vastaavia havaintoja on myös ainakin alankomaalaisista sivustoista. Alustavien tietojen mukaan näyttää siltä, että sekä suomalaiset että ulkomaiset tapaukset liittyvät saman kansainvälisen verkkomainosten jakeluyrityksen jakelemaan sisältöön.

PÄIVITYS 13.4.2016 klo 9:38:

Kyberturvallisuuskeskuksen saamien tietojen mukaan haitallinen mainos on poistettu mainoksia välittävän yrityksen toimesta. Mainos on ollut näkyvissä alkuviikosta muutamien tuntien ajan. Tapaus osoittaa käyttäjien ohjelmistopäivitysten ja tietoturvaohjelmistojen tärkeyden. Mikäli tietoturvapäivitykset ja tietoturvaohjelmisto olivat kunnossa, haitallisen mainoksen sisältäneellä sivulla vierailu ei suurella todennäköisyydellä aiheuttanut vaaraa.

Mainosta ei tarvitse edes klikata

Haittaohjelmat voivat levitä luotetuilla sivustoilla näytettävien mainosten yhteydessä ilman, että sivustoa on murrettu. Mainoksen kautta levitettävä haittaohjelma voi tarttua, vaikka käyttäjä ei klikkaisi mitään. Haittaohjelmilta kannattaa suojautua pitämällä verkkoselaimet päivitettyinä uusimpiin versioihin ja haittaohjelmien torjunta ajan tasalla.

Suurten verkkosivustojen mainokset usein ladataan erilliseltä mainospalvelimelta. Jos mainospalvelin on murrettu ja sen jakamiin mainoksiin on ujutettu haittakoodia, samat haittamainokset voivat levittää haitallista sisältöään kymmenillä eri sivustoilla. Tässä tapauksessa sivustoa ei ole murrettu, vaan sivuston käyttämä mainospalvelin. Havaitut tapaukset liittyvät saman kansainvälisen verkkomainosten jakeluyrityksen jakelemaan sisältöön. Mainosten levitysverkoston luonteesta johtuen on mahdollista, että muidenkin uutissivustojen asiakkaille on näytetty haittaohjelmaan ohjaavaa mainosta.

Tyypillisin seuraus on kiristyshaittaohjelma

Nyt tietoon tulleessa tapauksessa sivustoilla näytettävät mainokset tekivät käyttäjältä näkymättömissä uudeelleenohjauksen Angler Exploit Kit (Angler EK) -nimiseen haittaohjelmien jakelualustaan. Angler EK:ta on viime aikoina käytetty erityisesti tiedostot salaavien kiristyshaittaohjelmien jakamiseen.

Haitallisille mainoksille altistunut käyttäjä ohjataan sivulle ujutetun haittakoodin avulla varsinaisen hyökkäysohjelmiston sisältävälle www-palvelimelle, joka selvittää käyttäjän koneella olevan selaimen sekä siinä olevat selainlaajennokset. Mikäli käyttäjän koneesta tunnistetaan esimerkiksi vanhentunut Adobe Flash -liitännäin, koneelle latautuu haitallinen Flash-tiedosto. Jos selain ja sen liitännäiset on päivitetty ajan tasalle, haittaohjelman tie tyssää tähän. Sen sijaan esimerkiksi vanhentunutta Flash-liitännäistä käyttäville latautuu tyypillisesti tiedostoja salaava kiristyshaittaohjelma, kuten Locky, AlphaCrypt, TeslaCrypt tai jokin Cryptowall-versio. Haittaohjelma voi tarttua myös Internet Explorerin tai Adobe Readerin haavoittuvuuksien kautta.

Pidä ohjelmistot ja tietoturvaohjelmisto ajan tasalla

Tietoturvaohjelmisto saattaa estää haittaohjelman tarttumisen mainossivustolta. Ajantasainen tietoturvaohjelmisto on erittäin tärkeässä roolissa käyttäjien ja organisaatioiden suojaamiseksi verkkohyökkäyksiltä. Sen lisäksi tietoturvaa kannattaa parantaa huolehtimalla ohjelmistojen, kuten selaimen ja sen liitännäisten tietoturvapäivityksistä.

Selainliitännäiset, kuten Adobe Flash ovat verkkorikollisten suosiossa haittaohjelmien tartuttamiseksi levitysjärjestelmien (exploit kit) välityksellä. Useimmissa selaimissa liitännäiset käynnistyvät automaattisesti, ellei sitä erikseen estä. Viestintävirasto suosittelee säätämään selaimen Click-to-Play-ominaisuudesta liitännäiset odottamaan käyttäjän klikkausta käynnistyäkseen. Tämä on nykyään oletusarvoista uusimpaan päivitetyssä Chromessa. Linkki kuvallisiin ohjeisiin englanniksi.

Suunnitelmallinen varmuuskopioiden ottaminen on erittäin tärkeää. Toimivat prosessit tiedostojen palauttamiseksi auttavat toipumisessa ja pienentävät kiristyshaittaohjelmien aiheuttamaa uhkaa.

Lisätietoja

Large malvertising campaign hits popular Dutch websites (11.4.2016)

Haittaohjelma tarttuu, vaikka et klikkaisi mitään, osa 1 (Tietoturva nyt! 17.9.2015)

Exploit kit - tehokas haittaohjelmien levittäjä (Tietoturva nyt! [Teema] 6.3.2015)

Adobe Flash Playerissä korjattu kriittinen haavoittuvuus (8.4.2016)

Päivityshistoria

Asiasanat: Internet , Tietoturva , Haittaohjelma , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248