Ergebnisse der ersten Untersuchung und Malware-Analyse von Fire Sale Ukraine

GESCHRIEBEN VON

Michael Goedeker

[post-views]

November 10, 2015 · 10 min zu lesen

Ergebnisse der ersten Untersuchung und Malware-Analyse von Fire Sale Ukraine

Hallo nochmal, wie versprochen bringen wir heute einige detailliertere Informationen (Research Intel) über das, was wir glauben, Phase 1 des Fire Sale Cyber-Angriffs war, der während der Wahlen die gesamte Medienbranche der Ukraine traf. Zuerst die guten Nachrichten: Es gibt bereits eine Vorfallzusammenfassung von der lokalen ukrainischen CERT, die Sie hier finden können: http://cert.gov.ua/?p=2370.

Wir haben jetzt den Beweis, dass der Angriff mit 2 Hauptkomponenten ausgeführt wurde: einem Backdoor zur Auslieferung und Nutzlast/- (Cyber-) Waffe, und es hat tatsächlich die gesamte Branche getroffen (wie zuvor diskutiert), aber die Wahlübertragung nicht unterbrochen – vielleicht war das nie beabsichtigt. Das ist etwas beunruhigend, da es entweder ein Test für etwas Schlimmeres war, das noch bevorsteht, oder wir waren schneller bei der Erkennung, als sie dachten, dass es möglich wäre, oder wir hatten Glück oder eine Mischung aus mehreren Faktoren.Der Backdoor-Teil von „Fire Sale“Backdoor-Dateien heißen: aliide.sys, amdide.sysund als die Forschung fortschritt, entdeckten wir später weitere Dateien: acpipmi.sys, adpu320.sysoder irgendein zufälliger Treibername .sys. Die bösartigen *.sys-Dateien befinden sich in Windows/System32/drivers Verzeichnis und geben vor, legitime Treiber zu sein, am häufigsten sind aliide.sys and amdide.sys.

Ein einfacher Weg, um den Unterschied zu einem legitimen Treiber zu erkennen, besteht darin, die Größe zu vergleichen: ein legitimer Treiber ist < 20 KB, während der Virus > 20 KB ist, typischerweise bis zu 50 KB. Zunächst haben wir die Dateien zu VirusTotal hochgeladen und kein Antivirus hat sie als bösartig gekennzeichnet.

Wir haben dann angefangen, AV-Anbieter direkt zu kontaktieren, und einer nach dem anderen veröffentlichten sie Signaturen und bestätigten den Malware-Ursprung (also, bitte sehr, Welt!!). Hier sind die frischen VirusTotal-Ergebnisse zu den Proben, die in meine Hände gelangten:

Obwohl die Erkennung noch im frühen Stadium ist, machen Sie keinen Fehler – wir haben es mit dem bereits berüchtigten BlackEnergy Malware zu tun, die bereits 2015 zum Angriff auf ICS-Systeme eingesetzt wurde, wie von CyberX berichtet wurde.

In diesem Szenario wurde BlackEnergy Monate vor dem Wahldatum (25. Oktober^th) durch die gefälschten IDE-Controller- und CPU-Treiber platziert. Ich lasse euch darüber nachdenken, ob es geplant war oder nicht…

Es gibt eine sehr plausible Hypothese bezüglich des Backdoors, veröffentlicht von CERT-UA, die im Wesentlichen sagt, dass originale Treiber eine gültige Zertifikatsignatur haben, während ersetzte (Backdoors / Rootkits, usw.) selbst signiert sind (das sind gute Nachrichten, oder?!).

Fazit 1: BlackEnergy ist wieder auferstanden und fungiert als ein unauffälliges Transportsystem zur Lieferung fortschrittlicher Cyber-Waffen, es ist installiert, um so zu tun, als wäre es ein legitimer Windows-Treiber, mit einem zufälligen Namen, aber einer selbst signierten Zertifikatsignatur. Ich denke, da kommt noch etwas Sinisteres hoch…. Aber hey, das ist nur die Meinung eines 1D10t 😉Die NutzlastNutzlast-/Waffen-Dateien, die entdeckt wurden, heißen ololo.exe oder eine infizierte svchost.exe (klassisch unter c:Windows anstatt des korrekten Speicherorts unter c:WindowsSystem32) als bösartige Nutzlast.

Was passiert genau am Tag des Angriffs? Der Backdoor aktiviert sich selbst und ändert sogar die Anfangsparameter des Prozesses von „demand start“ zu „auto start“ auf allen mit Backdoor versehenen / infizierten Maschinen innerhalb von wenigen Sekunden. Das war es, was es ermöglichte, einen Angriff über eine ganze Branche gleichzeitig zu starten – stellen Sie sich vor, jemand hat gerade eine Fernbedienung oder einen Auslöser gedrückt, ohne tatsächlich eine Netzwerkverbindung zu den Zielen initiieren zu müssen!

And only when the right time came, on 24^th im Oktober, in der Nacht vor Beginn der Wahlen, aktivierte sich das Botnetz, um den Waffenteil zu liefern, ololo.exe/svchost.exe .

Dies ist der gefährlichste Teil dieses gezielten Angriffs, da der BlackEnergy Backdoor individuell für jeden Angriff konstruiert wird (denken Sie darüber nach für eine Sekunde…) und sehr selektiv verteilt wird (denken Sie darüber nochmal nach…).

Wir können erneut bestätigen und den Schluss ziehen, dass das BlackEnergy-Botnetz alles andere als tot ist, es hat wieder in einer neuen und sehr fortschrittlichen Form an die Oberfläche getreten, und es ist (Spoiler-Alarm!) in keiner öffentlichen Blacklist oder Intel-Feed zu finden.Zurück zu den Details der Nutzlast/Waffe, nur Datei-Namen von ololo.exe/svchost.exe reichen nicht aus, um als vollständiger IOC (Indicator Of Compromise) zu dienen, aber hier sind die Hashes von VirusTotal, die jetzt verfügbar wurden, nachdem wir Malware-Proben an AV-Anbieter geschickt haben.

Das Studium (und die vollständige Rückentwicklung) der Nutzlast/Waffe ist noch im Gange, aber es ist bereits klar, dass es wirklich ein Kunstwerk ist – es hat über 309 Funktionen und über 140 Variablen, die es überprüft, setzt, und mit denen es arbeitet. Der Hauptteil des Codes ist in Visual C++ geschrieben, und der Code sieht schön und sehr professionell aus.

Das sind NICHT irgendwelche Random-Leute, die das erstellt haben, das sind Typen, die genau wissen, was sie tun. Diese .exe Datei hat mehrere Funktionen/Eingaben und Schritte, die den Benutzerkontext, die Umgebung, usw. betrachten. Das Verhalten hängt auch davon ab, von welchem Benutzer es ausgeführt wurde. Beim Ausführen von einem Nicht-Admin-Konto erzeugt ololo.exe/svchost.exe ein Ereignis, das die Festplatte (WindowsTemp_random_name.tmp) mit 16 MB großen Dateien füllt, die einen zufälligen ASCII-Zeichen enthalten, das sich wiederholt, bis die Größe von 16 MB erreicht ist.

Hier sind einige Screens von einem infizierten Host, auf dem Sie ololo.exe als Prozess erkennen können, und es wird ein Popup für Sie erzeugt, um den Admin zu rufen! (ziemlich cool meiner Meinung nach, was die Arbeit betrifft)

Dieses Ereignis (wie wir vermuten) wird verwendet, um jeden Benutzer auf einem Windows-basierten Client, der keine lokalen Admin-Rechte hat, zu zwingen, einen Admin um Hilfe bei der Behebung des Problems auf ihrem jeweiligen Laptop/Desktop zu bitten. Sobald die Malware festgestellt hat, dass das Admin-Konto (Kontextwechsel) aktiv ist, verhält sie sich völlig anders. Zuerst führt die Nutzlast eine vollständige Erkundung der Umgebung des Ziels für einige Zeit durch, bis zu 40 Minuten, wie eines der Opfer beobachtet hat. Bösartige Aktionen beginnen zunächst mit der Änderung des Boot-Records/Laders des infizierten PCs/Laptops.

Und dann beginnt es, nach Dateien auf dem infizierten Computer zu suchen.

Nachdem der Virus gefunden hat, wonach er sucht, beginnt er, jegliche Spur oder Beweise seiner Existenz von dem infizierten Computer zu löschen, indem er Nullen in alle Dateien schreibt, nach denen er gesucht hat (und in der Medienbranche bedeutete dies, nach .avi, .mpeg, .mjpeg und allem anderen zu suchen, was auf Video-Bearbeitungs-Workstations gefunden werden kann).

Übrigens erreicht die Gesamtanzahl der Dateitypen nach Erweiterung, die die Malware untersucht, über 2830 – dies umfasst jedes mögliche Dokument, Multimedia, Archiv, Datenbank, ausführbare Datei, Quellcode oder irgendetwas anderes, was Ihnen einfallen könnte, vielleicht wird dies intellektuell durch eine C&C-Nutzlast ausgewählt? In diesem Stadium ist unklar, wonach genau 40 Minuten lang gesucht wird, oder ob 40 Minuten überhaupt relevant sind – es besteht eine SEHR GERINGE Wahrscheinlichkeit, dass es sich um einen Timer handelt, vielmehr ein Indikator dafür, wie schnell die Suche auf einem bestimmten infizierten Rechner durchgeführt wurde, daher ist eine weitere Rückentwicklung der Malware-Proben erforderlich… Das Interessante hier ist auch, dass es sich wie andere Spyware aus Angriffe verhält, die ich in der Vergangenheit gesehen habe, machen Sie sich selbst ein Bild darüber, wer der Angreifer wirklich war und was das Endziel ist…

Denken Sie nun einen Moment darüber nach, welche anderen Bedrohungen dies verursachen kann? Nun, da die Malware je nach dem, was sie findet, ihr Verhalten variiert, kann sie so ziemlich alles ausführen, was der Angriff will, wie zum Beispiel das Abrufen einer SAM-Datei vom Domänencontroller, um beispielsweise die Passwort-Hashes am „Home-Standort“ weiter hochzuladen, verteilt sie weiterhin Backdoor und Nutzlast im Netzwerk, öffnet Tunnel, etc. Dies stellt auch die Persistenz der Bedrohung sicher (hallo APT), da das Ziel des Angriffs viel Zeit und Ressourcen benötigen wird, um das Chaos aufzuräumen, und während das Unternehmen die Backdoors säubert, werden die Tunnel immer noch offen sein, während die Tunnel gereinigt werden, würden sie bereits neue Waffen vorladen, die vom AV nicht erkannt werden, ausspülen, wiederholen…

Zusätzlich entdeckten wir, dass der Virus auch standort- oder zeitsensitiv ist. Wir schickten eine Malware-Probe an mehrere Sandboxes weltweit und keiner von ihnen fand die Malware, außer einem. Diese eine Sandbox war in den USA, und sie zeigte eine Verbindung an: ein Befehl / eine Funktion beginnt, sich mit einem Server in Cambridge, Mass im NTT Americas Data Center zu verbinden und mit der Server-IP 23.61.75.27. Dies kann entweder ein nächster Angriffsstufe sein, die auf die USA abzielt, oder dass C&C in den USA liegt, oder dass C&C hinter einem CDN (Akamai) liegt, das in den USA angesiedelt ist, oder dass die Malware einfach zeitsensitiv ist und nur dann die C&C kontaktiert, wenn eine bestimmte Zeit verstrichen ist (vielleicht war die US-Sandbox die einzige, die den Timer hochfährt). Unabhängig davon, die einzige gefundene IP und Nutzlast sind unten:Nun können wir die Angriffsphasen zusammenfassen und erste Schlussfolgerungen ziehen:

Externe Aufklärung (mangelnde Infos? OSINT über Wahlkampf vielleicht?)
Eindringen – Einspeisen des BlackEnergy-Backdoors.
Interne Aufklärung – Malware untersucht die Umgebung, läuft 140+ Variablenprüfungen ähnlich primitiver KI und ändert ihre weiteren Aktionen basierend auf den Erkenntnissen
Herstellung von Persistenz – Tunnel, verschiedene Backdoors, um schwer zu bereinigen und gegen AV’s resistent zu sein.
Zeitliche und synchronisierte Ausführung des Angriffs – Lieferung und Ausführung von OLOLO.exe/SVCHOST.exe oder anderer Waffen.

Angriffsphasen-Karte

Sobald die Malware/Nutzlast ihr schmutziges Geschäft beendet hat, löscht sie sich selbst, zusammen mit allen Mediendateien (oder anderen Dateien, die sie verfolgt), den Auslieferungsdateien (Backdoor, welche Backdoor?) und 0en den Raum, den sie belegt hat, um ihre Signatur und Beweise ihrer Existenz zu eliminieren. Es ist wichtig zu beachten, dass sich BlackEnergy selbst sehr unauffällig verhält und dann einfach gelöscht wird (Spurenverwischend, oder?).

Während wir nun ein klares Verständnis dafür haben, wie man eine Infektion erkennt, wissen wir noch wenig über das C&C und das Verteilernetzwerk. Mit der IP-Adresse und den Malware-Hashes haben wir sie durch alle bekannten Open Threat Intelligence-Feeds laufen lassen, einschließlich Zeus-Tracker, OTX, VxVault, IPvoid, VirusTotal und über 100 Feeds, aber wir kamen mit 0 Treffern heraus. Wir haben auch die Hashes und IPs gegen 10 kommerzielle Quellen überprüft, einschließlich sehr guter Feeds, aber erneut ohne Ergebnis. Dies bedeutet, dass BlackEnergy ein neues Botnetz hat, das sehr geheim verwendet wird und derzeit die meisten Threat Intelligence-Lösungen umgeht. Ein weiterer wichtiger Punkt ist, dass der Backdoor keine Internetkommunikation initiiert hat, sodass Dinge wie Protokolltunneling (z.B. DNS, DHCP, ICMP) nicht entdeckt wurden (NOCH NICHT!). Ich sage nicht, dass Threat Intelligence nicht effektiv ist, ganz im Gegenteil, es ist der schnellste Weg, um auf globaler Ebene Verteidigung aufzubauen, aber es war das erste Mal, dass der Angriff (oder der Beweis für den Angriff?) gesehen wurde.

Ich stelle verschiedenen CERTs relevante Angriffsdetails zur Verfügung und spreche mit Unternehmen darüber, wie der Angriff und zukünftige Angriffe mit unserer und der Technologie von Partnern gestoppt werden können. Derzeit hat SOC Prime Angriffsdetektionssignaturen veröffentlicht, die mit QUALYS (schnellster Weg zu erkennen, ob Sie Backdoor haben oder nicht); SNORT, OSSEC, ARCSIGHT, SPLUNK und QRADAR arbeiten. Bitte kontaktieren Sie SOC Prime direkt für die Detektionswerkzeuge, die allen, die sie benötigen, kostenlos zur Verfügung gestellt werden. Ich werde Updates posten, sobald die Untersuchung fortschreitet und die vollständige Rückentwicklung der Malware-Proben verfügbar wird.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten Ein Treffen buchen

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

Ergebnisse der ersten Untersuchung und Malware-Analyse von Fire Sale Ukraine

War dieser Artikel hilfreich?

Stärken Sie Ihre Cyber-Abwehr mit Threat Detection Marketplace