Verkkomainoksiin ujutettu haittakoodia

Viestintäviraston Kyberturvallisuuskeskus on saanut maanantaina 11.4.
tietoja suurten uutissivustojen mainosten kautta levitettävistä
haittaohjelmista. Tieto koskee tällä hetkellä yhtä suomalaista
uutissivustoa. Vastaavia havaintoja on myös ainakin alankomaalaisista
sivustoista. Alustavien tietojen mukaan näyttää siltä, että sekä
suomalaiset että ulkomaiset tapaukset liittyvät saman kansainvälisen
verkkomainosten jakeluyrityksen jakelemaan sisältöön.

Mainosta ei tarvitse edes klikata

Haittaohjelmat voivat levitä luotetuilla sivustoilla näytettävien
mainosten yhteydessä ilman, että sivustoa on murrettu. Mainoksen kautta
levitettävä haittaohjelma voi tarttua, vaikka käyttäjä ei klikkaisi
mitään. Haittaohjelmilta kannattaa suojautua pitämällä verkkoselaimet
päivitettyinä uusimpiin versioihin ja haittaohjelmien torjunta ajan
tasalla.

Suurten verkkosivustojen mainokset usein ladataan erilliseltä
mainospalvelimelta. Jos mainospalvelin on murrettu ja sen jakamiin
mainoksiin on ujutettu haittakoodia, samat haittamainokset voivat
levittää haitallista sisältöään kymmenillä eri sivustoilla. Tässä
tapauksessa sivustoa ei ole murrettu, vaan sivuston käyttämä
mainospalvelin. Havaitut tapaukset liittyvät saman kansainvälisen
verkkomainosten jakeluyrityksen jakelemaan sisältöön. Mainosten
levitysverkoston luonteesta johtuen on mahdollista, että muidenkin
uutissivustojen asiakkaille on näytetty haittaohjelmaan ohjaavaa mainosta.

Tyypillisin seuraus on kiristyshaittaohjelma

Nyt tietoon tulleessa tapauksessa sivustoilla näytettävät mainokset
tekivät käyttäjältä näkymättömissä uudeelleenohjauksen Angler Exploit
Kit (Angler EK) -nimiseen haittaohjelmien jakelualustaan. Angler EK:ta
on viime aikoina käytetty erityisesti tiedostot salaavien
kiristyshaittaohjelmien jakamiseen.

Haitallisille mainoksille altistunut käyttäjä ohjataan sivulle ujutetun
haittakoodin avulla varsinaisen hyökkäysohjelmiston sisältävälle
www-palvelimelle, joka selvittää käyttäjän koneella olevan selaimen sekä
siinä olevat selainlaajennokset. Mikäli käyttäjän koneesta tunnistetaan
esimerkiksi vanhentunut Adobe Flash -liitännäin, koneelle latautuu
haitallinen Flash-tiedosto. Jos selain ja sen liitännäiset on päivitetty
ajan tasalle, haittaohjelman tie tyssää tähän. Sen sijaan esimerkiksi
vanhentunutta Flash-liitännäistä käyttäville latautuu tyypillisesti
tiedostoja salaava kiristyshaittaohjelma, kuten Locky, AlphaCrypt,
TeslaCrypt tai jokin Cryptowall-versio. Haittaohjelma voi tarttua myös
Internet Explorerin tai Adobe Readerin haavoittuvuuksien

kautta.

Pidä ohjelmistot ja tietoturvaohjelmisto ajan tasalla

Tietoturvaohjelmisto saattaa estää haittaohjelman tarttumisen
mainossivustolta. Ajantasainen tietoturvaohjelmisto on erittäin
tärkeässä roolissa käyttäjien ja organisaatioiden suojaamiseksi
verkkohyökkäyksiltä. Sen lisäksi tietoturvaa kannattaa parantaa
huolehtimalla ohjelmistojen, kuten selaimen ja sen liitännäisten
tietoturvapäivityksistä.

Selainliitännäiset, kuten Adobe Flash ovat verkkorikollisten suosiossa
haittaohjelmien tartuttamiseksi levitysjärjestelmien (exploit kit)
välityksellä. Useimmissa selaimissa liitännäiset käynnistyvät
automaattisesti, ellei sitä erikseen estä. Viestintävirasto suosittelee
säätämään selaimen Click-to-Play-ominaisuudesta liitännäiset odottamaan
käyttäjän klikkausta käynnistyäkseen. Tämä on nykyään oletusarvoista
uusimpaan päivitetyssä Chromessa. Linkki kuvallisiin ohjeisiin
englanniksi
.

Suunnitelmallinen varmuuskopioiden ottaminen on erittäin tärkeää.
Toimivat prosessit tiedostojen palauttamiseksi auttavat toipumisessa ja
pienentävät kiristyshaittaohjelmien aiheuttamaa uhkaa.