T1583.008

Acquire Infrastructure: Malvertising

 

Adversaries may purchase online advertisements that can be abused to distribute malware to victims. Ads can be purchased to plant as well as favorably position artifacts in specific locations online, such as prominently placed within search engine results. These ads may make it more difficult for users to distinguish between actual search results and advertisements.[1] Purchased ads may also target specific audiences using the advertising network’s capabilities, potentially further taking advantage of the trust inherently given to search engines and popular websites.

攻撃者は、被害者にマルウェアを配布するために悪用されるオンライン広告を購入することがあります。広告は、特定のオンラインの場所、例えば検索エンジンの結果内で目立つ位置に配置されるよう購入することがあります。これらの広告によって、ユーザーは実際の検索結果と広告を区別するのが難しくなることがあります。購入された広告は、広告ネットワークの能力を利用して特定の対象者をターゲットにすることもあり、検索エンジンや人気のあるウェブサイトへの信頼をさらに悪用する可能性があります。

Adversaries may purchase ads and other resources to help distribute artifacts containing malicious code to victims. Purchased ads may attempt to impersonate or spoof well-known brands. For example, these spoofed ads may trick victims into clicking the ad which could then send them to a malicious domain that may be a clone of official websites containing trojanized versions of the advertised software.[2][3] Adversary’s efforts to create malicious domains and purchase advertisements may also be automated at scale to better resist cleanup efforts.[4]

攻撃者は、被害者に悪意のあるコードを含んだファイルを配布するための広告やその他のリソースを購入することがあります。購入された広告は、よく知られているブランドを偽装またはなりすましを試みることがあります。例えば、これらの偽装広告は、被害者を欺いてクリックさせ、公式サイトのクローンである悪意のあるドメインに誘導することがあります。そのドメインには、広告されているソフトウェアのトロイの木馬化されたバージョンが含まれていることが攻撃者は、悪意のあるドメインの作成や広告の購入を大規模に自動化し、クリーンアップの取り組みに対してより効果的に抵抗することができます。あります。攻撃者は、悪意のあるドメインを作成し、広告を購入する取り組みも、クリーンアップの努力により効果的に抵抗するために、大規模に自動化されることがあります。

Malvertising may be used to support Drive-by Target and Drive-by Compromise, potentially requiring limited interaction from the user if the ad contains code/exploits that infect the target system's web browser.[5]

Malvertisingは、Drive-by TargetやDrive-by Compromiseをサポートするために使用されることがあります。もし広告がウェブブラウザを感染させるコードやエクスプロイトを含んでいれば、ユーザーが何かを特別に操作することなく、感染する可能性があります。

Adversaries may also employ several techniques to evade detection by the advertising network. For example, adversaries may dynamically route ad clicks to send automated crawler/policy enforcer traffic to benign sites while validating potential targets then sending victims referred from real ad clicks to malicious pages. This infection vector may therefore remain hidden from the ad network as well as any visitor not reaching the malicious sites with a valid identifier from clicking on the advertisement.[2] Other tricks, such as intentional typos to avoid brand reputation monitoring, may also be used to evade automated detection.[1]

ID: T1583.008
Sub-technique of:  T1583
Platforms: PRE
Contributors: Goldstein Menachem; Hiroki Nagahama, NEC Corporation; Juan Carlos Campuzano - Mnemo-CERT; Manikantan Srinivasan, NEC Corporation India; Pooja Natarajan, NEC Corporation India; Tom Hegel
Version: 1.0
Created: 21 February 2023
Last Modified: 17 April 2023

Mitigations

ID Mitigation Description
M1056 Pre-compromise

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should be focused on initial access activities, such as drive by compromise where ad blocking adblockers can help prevent malicious code from executing.

Detection

ID Data Source Data Component Detects
DS0035 Internet Scan Response Content

If infrastructure or patterns in the malicious web content related to malvertising have been previously identified, internet scanning may uncover when an adversary has staged malicious web content. Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on other phases of the adversary lifecycle, such as Drive-by Compromise or Exploitation for Client Execution.

References