Вредоносное ПО перехватывает DNS-запросы маршрутизаторов и встраивает рекламу через Google Analytics

Вредоносное ПО, перехватывающее настройки DNS в маршрутизаторах, не является чем-то новым. Тем не менее, разработанные в последнее время эксплоиты позволяют осуществлять операции перехвата с использованием одного лишь JavaScript. Специалисты компании Ara Labs обнаружили новую схему, в которой злоумышленники используют перехват DNS, после чего подменяют теги Google Analytics и встраивают в посещаемые жертвой страницы неотключаемую рекламу. Результаты своего исследования эксперты опубликовали в блоге компании.

Киберпреступники перенаправляют DNS-запросы к домену google-analytics.com на поддельный сайт, где на устройства жертв загружается вредоносный сценарий JavaScript. В дальнейшем он встраивает навязчивые рекламные сообщения (в некоторых случаях вся посещаемая страница оказывается заполненной трудноотключаемой рекламой) на web-сайты, использующие Google Analytics для показа таргетированных объявлений своим посетителям. Отметим, что это не является уязвимостью в самом Google Analytics – киберпреступники решили использовать площадку от Google в связи с ее популярностью.

В данном случае мошенники использовали пару DNS-серверов 91.194.254.105 (основной) и 8.8.8.8 (дополнительный). Основной DNS-сервер принадлежит злоумышленникам, в то время как дополнительный используется компанией Google в качестве публичного DNS-сервера. Большинство DNS-запросов разрешаются через дополнительный сервер, но когда происходит попытка запроса DNS к google-analytics.com, основной DNS-сервер возвращает ответный IP 195.238.181.169, который ведет на контролируемый злоумышленниками сайт.

Когда жертва посещает сайт, использующий Google Analytics, и пытается загрузить стандартные скрипты с сервера, злоумышленники передают вредоносный JavaScript, который вставляет рекламу на web-сайт. В некоторых случаях вредоносный файл маскируется под легитимный скрипт Google Analytics.

Инъекции вредоносных рекламных сообщений производились с доменов zinzimo.info, ektezis.ru и patifill.com, которые принадлежат российской рекламной сети Popunder. Она специализируется на размещении всплывающих рекламных объявлений.