ЭКСТРЕМАЛЬНЫЙ МЕТОД МАСКИРОВКИ РАСКРЫТ

Запуск недобросовестных рекламных кампаний — это не новость. Многие интернет-рекламодатели пытаются обойти правила, установленные рекламными сетями, чтобы размещать кампании, которые не разрешены данной рекламной сетью. Мы ежедневно сталкиваемся с множеством примеров таких кампаний на нашей платформе для шпионажа за рекламой.

Наиболее распространённой тактикой является маскировка текста объявления с помощью текста и изображений, не вызывающих подозрений. Затем создается фальшивая или безобидная целевая страница, которая показывается команде проверки, в то время как реальный трафик перенаправляется на настоящую доходную страницу для большинства аудитории. В рекламном сообществе это называется криптопоказом (cloaking).

Рассмотрим гипотетический пример. Онлайн-азартные игры запрещены в Соединённых Штатах. Поэтому рекламодателям запрещено показывать рекламу азартных игр аудитории из США, поскольку это незаконно. Существует множество зарубежных онлайн-платформ для азартных игр, которые стремятся привлечь клиентов из США. Поэтому сами эти платформы или их партнёры пытаются запускать подобные рекламные кампании, используя методы криптопоказа.

Одним из первых методов криптопоказа было показывать разрешённую целевую страницу в процессе одобрения кампании, а после одобрения перенаправлять по URL на недопустимую страницу. Как вы понимаете, такой метод легко обнаружить, и поэтому мошенники начали разрабатывать более сложные техники. Это может включать определение «подозрительного» трафика по IP-адресу посетителя, анализ HTTP-заголовков на наличие несоответствий, выполнение проверок JavaScript, чтобы определить, исходит ли трафик с мобильного устройства или эмулятора и т.д.

В этой статье мы раскроем одну из наиболее сложных и, откровенно говоря, поразительных техник криптопоказа, впервые обнаруженную специалистами из bidfilter. Она состоит из нескольких этапов и проверок, включая увлекательные методы, такие как стеганография, глубокая обфускация и хитрая инъекция JavaScript.

Прежде чем мы опишем шаги подробно, давайте взглянем на диаграмму ниже, которая упрощает понимание всего процесса:

1. Инъекция скрипта
   1. В данном случае реклама распространялась через DSP, и поэтому код вставки был изменён так, чтобы скрипт подавался как изображение в формате GIF, как показано ниже:
   2. 
   3. Само изображение GIF было на самом деле JavaScript-кодом, замаскированным под файл изображения
2. Предварительные проверки
   1. Этот полезный код сначала убеждался, что скрипт не вызывается локально, чтобы избежать обнаружения. После подтверждения он переходил к следующим шагам
3. Стеганография (да, именно стеганография!)
   1. На следующем этапе в тег img вышеприведённого кода загружался небольшой графический файл. Обратите внимание, что это изображение по умолчанию скрыто. Кроме того, заполнялся тег input, чтобы получить доступ к некоторым свойствам CSS, в которых хранились переменные.
   2. После этого изображение отрисовывалось на 2D-холсте, и каждое значение RGB каждого пикселя анализировалось и сравнивалось с переменной CSS, чтобы сгенерировать дополнительный JavaScript-код.
   3. Очень хитрый способ скрытия кода внутри изображения с использованием стеганографии!
4. Крайняя обфускация
   1. Как будто предыдущего шага было недостаточно, JavaScript, загруженный с помощью стеганографии, дополнительно обфусцировался с использованием скрытых символов, которые невозможно увидеть в обычном текстовом редакторе. Ниже приведён снимок экрана кода из оригинальной статьи:
   2. 
   3. После деобфускации этих скрытых символов выяснилось, что скрипт используется для вызова ещё одной JavaScript-страницы с внешнего URL-адреса, предварительно убедившись, что устройство, на котором выполняется скрипт, действительно является мобильным устройством (с помощью проверок DPI экрана, идентификаторов пользовательского агента и других заголовков)
5. Финальные проверки
   1. У вышеприведённого URL-адреса JavaScript был очень короткий срок жизни, чтобы предотвратить его раскрытие
   2. Если конечному пользователю удавалось загрузить скрипт в течение этого короткого промежутка времени и пройти дополнительные проверки, он мог увидеть настоящую скрытую промежуточную страницу. Если нет, пользователю показывалась поддельная безобидная промо-страница

Ниже приведены ссылки на оригинальную научную статью от Bidfilter и PDF-файл с диаграммой высокого разрешения, если вам это интересно.

Как отмечал автор белой бумаги, это, безусловно, самый крайний пример вредоносной рекламы из всех, которые им когда-либо встречались. Я думаю, можно с уверенностью предположить, что мы столкнемся с этим не в последний раз. Рекламные сети должны усилить свои усилия, если они действительно настроены бороться с таким видом спама.