Złośliwe reklamy malvertising: jak infekują komputer i jak się przed nimi bronić w przeglądarce

Przez
Elżbieta Jabłoński
-
0
7
Rate this post

Nawigacja:

Dlaczego malvertising jest realnym problemem dla zwykłego użytkownika

Większość osób traktuje reklamy w przeglądarce jako denerwujące, ale w gruncie rzeczy nieszkodliwe obrazki. Dopiero gdy pojawi się dziwny komunikat o wirusie, samoczynne pobieranie pliku lub ekran zasłaniający całą stronę, pojawia się pytanie: czy to tylko agresywny marketing, czy już faktyczny atak. Malvertising, czyli złośliwe reklamy, celowo rozmywa tę granicę – udaje normalną reklamę, a w tle przygotowuje infekcję lub wyłudzenie danych.

W praktyce oznacza to, że do ataku może dojść w trakcie zwykłego przeglądania znanych portali, forów, serwisów informacyjnych czy stron z pogodą. Nie trzeba wchodzić na „ciemną stronę internetu”, żeby trafić na zainfekowaną kampanię reklamową. Dlatego kluczowe jest zrozumienie, czym malvertising różni się od zwykłych, nawet bardzo nachalnych reklam, jak wygląda technicznie infekcja oraz co można ustawić w przeglądarce, aby takie ryzyko znacząco ograniczyć.

Czym jest malvertising i czym różni się od „zwykłej” reklamy

Reklama jako nośnik ataku, a nie tylko irytująca grafika

Malvertising to połączenie słów malicious (złośliwy) i advertising (reklama). Klucz tkwi w tym, że sama reklama – baner, wideo, pop‑up czy element osadzony w ramce – staje się nośnikiem ataku. Nie chodzi tylko o przekierowanie na podejrzaną stronę po kliknięciu. Zdarza się, że już samo wyświetlenie reklamy inicjuje niebezpieczne skrypty, które próbują wykorzystać luki w przeglądarce lub wtyczkach.

Zwykła reklama może być irytująca, głośna, nieestetyczna, ale jej celem jest sprzedaż produktu lub usługi. Złośliwe reklamy w przeglądarce mają inne priorytety:

  • instalacja malware (trojany, ransomware, stealery haseł, koparki kryptowalut),
  • phishing – wyłudzenie loginów, haseł, danych kart płatniczych,
  • przejęcie przeglądarki lub sesji (np. do wstrzykiwania fałszywych formularzy),
  • dołączenie komputera do botnetu.

Różnica jest nie tylko w zamiarze, ale i w sposobie działania. Złośliwe kampanie często korzystają z zaawansowanych skryptów do wykrywania, kto ogląda reklamę (system, przeglądarka, lokalizacja), i dopiero wtedy „włączają” właściwy atak. Dzięki temu trudniej je wychwycić i zablokować na poziomie sieci reklamowych.

Granica między nachalnością a faktyczną złośliwością

Częsty problem to odróżnienie legalnej, choć agresywnej reklamy od realnego malvertisingu. Nawet duże marki potrafią stosować:

  • wyskakujące okna z komunikatami o „ograniczonej ofercie”,
  • fałszywe paski postępu, mające sugerować „skanowanie” lub „instalację”,
  • przyciski stylizowane na systemowe (np. „Zainstaluj”, „Zgadzam się”), które prowadzą tylko na stronę sprzedażową.

Dopóki reklama nie próbuje zainstalować pliku bez wiedzy użytkownika, nie podszywa się pod system operacyjny czy znane marki zabezpieczeń oraz nie wyłudza wprost wrażliwych danych – poruszamy się w obszarze etyki, a nie cyberprzestępczości. Granica jest jednak cienka i czasem celowo rozmywana. Zdarza się też, że legalna kampania zostaje „przejęta” poprzez wstrzyknięcie złośliwego skryptu na jednym z kolejnych etapów łańcucha reklamowego.

Łańcuch pośredników reklamowych – gdzie wchodzi przestępca

Większość stron internetowych nie sprzedaje reklam bezpośrednio. Korzysta z jednej lub kilku sieci reklamowych, a te z kolei współpracują z kolejnymi partnerami. Schemat bywa uproszczony, ale w praktyce może wyglądać następująco:

  • wydawca (portal, blog, forum) – udostępnia przestrzeń reklamową,
  • sieć reklamowa A – główny partner portalu,
  • sieć B, C, D – partnerzy pośredni, w których „dogrywane” są dodatkowe kampanie,
  • reklamodawca lub broker kampanii – dostarcza grafiki, skrypty, adresy docelowe.

Przestępca może wejść w ten łańcuch na różnych poziomach. Typowy scenariusz:

  • Zakłada konto jako „normalny reklamodawca”, najczęściej z jakimś niekontrowersyjnym produktem (np. gry, aplikacje mobilne, konkursy).
  • Przechodzi wstępną moderację z „czystymi” kreacjami.
  • Po uzyskaniu dostępu do ruchu – podmienia skrypty tak, aby w określonych warunkach serwowały złośliwą zawartość.

W innym wariancie atakujący włamuje się bezpośrednio do konta reklamodawcy lub na serwer, z którego serwowane są materiały reklamowe, i dołącza tam swoje skrypty. Sieć reklamowa widzi tę kampanię jako legalną, bo z jej perspektywy pochodzi z zaufanego konta. Tego typu atak jest trudny do wychwycenia bez zaawansowanego monitoringu.

Dlaczego nawet „porządne” portale pokazują złośliwe reklamy

Popularny mit mówi, że „na znanych stronach jestem bezpieczny”. Niestety, to tylko część prawdy. Duże portale rzeczywiście przeprowadzają weryfikację partnerów reklamowych, często mają też filtry antywirusowe skanujące materiały reklamowe. Tymczasem:

  • złośliwy ładunek może być dostarczany dynamicznie – dopiero po sprawdzeniu, że użytkownik nie jest badaczem bezpieczeństwa czy systemem skanującym,
  • kampanie bywają zmieniane w czasie – początkowo są czyste, dopiero potem zaczynają serwować malvertising,
  • atakowany bywa nie sam portal, ale któryś z pośredników reklamowych.

W efekcie nawet duża, „bezpieczna” strona może w konkretnym momencie wyświetlić pojedynczą, zainfekowaną reklamę jedynie niewielkiemu odsetkowi użytkowników z określonego kraju czy typu urządzenia. Dla portalu może to pozostać niezauważone albo zostać odkryte dopiero po fakcie, gdy część użytkowników zgłosi incydent.

Strona główna Facebooka po tajsku wyświetlona na ekranie komputera
Źródło: Pexels | Autor: icon0 com

Jak złośliwa reklama infekuje komputer – krok po kroku

Scenariusz kliknięcia: phishing i fałszywe aktualizacje

Najprostszy model malvertisingu wymaga interakcji użytkownika – kliknięcia w reklamę. Atakujący liczy na to, że wizualnie uda mu się wzbudzić zaufanie. Typowe zabiegi:

  • użycie logotypu znanej marki (Microsoft, Google, banki, operatorzy),
  • klimat „pilnego ostrzeżenia” – czerwone komunikaty, wykrzykniki, odliczanie czasu,
  • obietnica zysku – nagroda, bon, „ekskluzywna promocja”, możliwość szybkiego zarobku.

Po kliknięciu użytkownik ląduje na fałszywej stronie. Może to być:

  • strona phishingowa – login do banku, poczty, serwisu społecznościowego,
  • strona udająca komunikat systemu lub przeglądarki – „Twoja wtyczka jest nieaktualna, pobierz aktualizację”,
  • fałszywy antywirus „online” – rzekomo skanujący komputer i wykrywający zagrożenia, po czym proponujący instalację „narzędzia naprawczego”.

Realny punkt infekcji pojawia się zwykle w chwili, gdy użytkownik:

  • pobiera i uruchamia plik (rzekomą aktualizację, kodek, skaner),
  • podaje dane logowania na stronie łudząco podobnej do oryginału,
  • instaluje rozszerzenie do przeglądarki o nadmiernych uprawnieniach.

W tym modelu przeglądarka pełni funkcję „przenośnika” – sama w sobie nie musi być zainfekowana. Zagrożenie wynika z podstępu psychologicznego i zaufania użytkownika do podrobionego interfejsu.

Ataki drive‑by download: infekcja bez klikania

Drugi, groźniejszy scenariusz to atak typu drive‑by download. W tym modelu do infekcji dochodzi, gdy złośliwy kod, osadzony w reklamie, wykorzysta lukę w przeglądarce lub wtyczce i samodzielnie pobierze oraz uruchomi malware. Teoretycznie użytkownik nie robi nic poza otwarciem zainfekowanej strony.

Typowy łańcuch zdarzeń:

  1. Strona ładuje kod reklamy z serwera reklamowego.
  2. Reklama zawiera skrypt JavaScript, który sprawdza:
    • rodzaj i wersję przeglądarki,
    • system operacyjny,
    • obecność konkretnych wtyczek (np. stary Flash, Java),
    • czy strona nie jest uruchomiona w środowisku testowym.
  3. Jeśli konfiguracja pasuje do listy podatnych systemów, skrypt ładuje ukrytą ramkę iframe z tzw. exploit kitem.
  4. Exploit kit uruchamia serię testów, próbując wykorzystać znane luki bezpieczeństwa.
  5. Jeżeli któraś z luk zadziała – wykonywany jest kod, który pobiera i uruchamia właściwe malware.

Z punktu widzenia użytkownika może to wyglądać jak krótkie „przymulenie” strony, ewentualnie chwilowe pojawienie się dziwnego okienka, które natychmiast znika. W wielu przypadkach nie widać absolutnie nic – infekcja zachodzi całkowicie w tle.

Skrypty, ramki, przekierowania – jak reklama „tańczy” po domenach

Malvertising rzadko ładuje malware wprost z jednego, oczywistego adresu. Aby utrudnić wykrycie, atakujący stosują cały łańcuch przekierowań:

  • baner reklamowy ładuje się z domeny sieci reklamowej,
  • w nim ukryty jest skrypt (często zaciemniony), który generuje iframe lub przekierowanie do kolejnej domeny,
  • ta domena może jedynie przekierować ruch dalej, zmieniać parametry, a dopiero następna serwuje exploit kit.

Do tego dochodzą techniki ukrywania kodu, takie jak:

  • obsfuskacja JavaScript (nieczytelny kod, generowany dynamicznie),
  • ładowanie fragmentów skryptu z różnych źródeł i składanie ich „w locie”,
  • wykrywanie narzędzi analitycznych i dostarczanie „czystego” kodu badaczom.

W praktyce analiza takich kampanii wymaga specjalistycznych narzędzi. Z punktu widzenia zwykłego użytkownika istotne jest to, że pozornie nieszkodliwa grafika może w tle inicjować złożoną serię połączeń z wieloma domenami, z których tylko część faktycznie dostarcza złośliwy ładunek.

Kiedy dokładnie dochodzi do pobrania i uruchomienia malware

Chociaż szczegóły różnią się w zależności od ataku, można wyróżnić kilka kluczowych momentów, w których następuje „przekroczenie granicy” między ryzykownym a faktycznie zainfekowanym systemem:

  • kliknięcie i pobranie pliku – użytkownik zapisuje program (rzekomą aktualizację, instalator, kodek), a następnie go uruchamia, akceptując komunikat systemowy,
  • wykorzystanie luki typu remote code execution – exploit w przeglądarce lub wtyczce pozwala na uruchomienie kodu bez zgody użytkownika,
  • akceptacja instalacji rozszerzenia – np. w Chrome lub Firefox, gdzie rozszerzenie ma dostęp do historii, haseł formularzy, kart,
  • makra i skrypty w dokumentach – reklama przekierowuje na stronę z dokumentem (np. DOC, XLS, PDF), który po otwarciu uruchamia złośliwe makro.

Najbardziej podstępne są te sytuacje, w których system pokazuje użytkownikowi jedynie standardowy komunikat, a opis pliku brzmiał przekonująco (np. „Flash_Update_2024.exe”, „ChromeSecureFix.msi”). Wtedy infekcja wygląda jak normalna instalacja.

Co dzieje się po infekcji: typowe skutki malvertisingu

Po udanej infekcji złośliwe oprogramowanie może wykonać wiele różnych działań. Najczęstsze scenariusze powiązane ze złośliwymi reklamami:

  • przejęcie przeglądarki – zmiana strony startowej, ustawień wyszukiwarki, wstrzykiwanie dodatkowych reklam, przekierowania na fałszywe strony banków, wstrzymywanie próby wejścia na strony z antywirusami,
  • instalacja trojanów bankowych – malware przechwytuje dane logowania, modyfikuje strony banków, dodaje własne formularze autoryzacji,
  • ransomware – szyfrowanie plików i żądanie okupu, często po wcześniejszym wykradzeniu części danych,
  • koparki kryptowalut – zużycie mocy procesora i karty graficznej, spowolnienie systemu, przegrzewanie się komputera,
  • stealery haseł i plików – przechwytywanie zapisanych w przeglądarce loginów, plików cookie, danych z menedżerów haseł.

Z punktu widzenia użytkownika skutki mogą być subtelne (trochę wolniejszy komputer, kilka dziwnych pop‑upów) albo dramatyczne (utrata dostępu do plików, wypłaty z konta bankowego, przejęcie kont w mediach społecznościowych). Malvertising jest tylko pierwszym etapem łańcucha – bramą do dalszych ataków.

Typowe scenariusze malvertisingu widoczne „gołym okiem”

„Wygrana nagroda” i loterie, które kończą się instalatorem

Reklamy obiecujące nagrodę to klasyk, ale wciąż działają. Nie chodzi tylko o „wygrałeś iPhone’a”, lecz cały wachlarz rzekomych konkursów i programów lojalnościowych.

Cechy charakterystyczne takich scenariuszy:

  • ekstremalnie agresywny język – „JESTEŚ ZWYCIĘZCĄ!”, „NIE ZAMYKAJ TEJ STRONY!”,
  • odliczanie czasu, które ma wymusić pośpiech („Masz 3 minuty na odebranie nagrody”),
  • domeny niepowiązane z marką – reklama pokazuje logo znanej sieci, ale adres to losowy ciąg znaków lub egzotyczna końcówka,
  • prośba o instalację aplikacji, rozszerzenia lub „panelu klienta” rzekomo potrzebnego do odbioru nagrody.

Czasem scenariusz jest miększy: najpierw formularz z danymi, potem SMS Premium lub aplikacja. Malvertising stanowi wtedy punkt wejścia do kombinacji phishingu, wyłudzeń i instalacji malware.

Jeżeli nagle „wygrywasz losowanie użytkowników Google/Orange/Twojego operatora”, a nigdy nie brałeś udziału w żadnym konkursie, punktem wyjścia powinna być nie euforia, tylko podejrzenie.

Fałszywe komunikaty systemowe i „okna przeglądarki udające pulpit”

Druga grupa widocznych gołym okiem scenariuszy to reklamy udające komunikaty systemowe. Często pojawiają się jako pop‑up, pełnoekranowa reklama albo strona z agresywnym JavaScriptem.

Typowe sztuczki:

  • grafika imitująca okienko Windows lub macOS, ale wszystko dzieje się w obrębie strony,
  • fałszywe wykrywanie wirusów – pasek „skanowania”, który zawsze „coś znajduje”,
  • komunikaty „Twoje oprogramowanie jest przestarzałe, kliknij, aby zaktualizować” bez wskazania źródła aktualizacji,
  • symulowane okienka dialogowe „OK/Anuluj”, które w rzeczywistości są linkami.

Krótki test: jeżeli możesz złapać „okienko” i przesunąć je w obrębie strony (a nie całego ekranu), to nie jest to komunikat systemowy, tylko element HTML. Innym sygnałem jest nietypowy adres w pasku przeglądarki – prawdziwy Windows Update nie ma formy strony na domenie „promodeal‑something.com”.

Reklamy, które „zamykają” przeglądarkę w pętli

Agresywne kampanie malvertisingu często próbują uniemożliwić użytkownikowi normalne opuszczenie strony. Z punktu widzenia psychologii to próba zbudowania poczucia „braku wyjścia”, żeby wymusić kliknięcie.

W praktyce może to wyglądać tak:

  • każda próba zamknięcia karty wywołuje kolejne okno dialogowe („Na pewno chcesz opuścić stronę? Twój komputer jest narażony na atak”),
  • otwierają się nowe karty z podobną treścią,
  • strona próbuje wejść w tryb pełnoekranowy i ukryć pasek adresu,
  • kursor jest „przykrywany” grafiką, która zachęca do kliknięcia w dokładnie wyznaczone miejsce.

Technicznie to najczęściej zwykły JavaScript, a nie prawdziwa blokada systemu. W większości przypadków pomaga wymuszone zamknięcie przeglądarki (Alt+F4, Cmd+Q, Menedżer zadań), a dopiero potem ostrożne przywrócenie sesji bez feralnej karty.

„Aktualizacje” popularnych aplikacji pojawiające się znikąd

Autentyczne komunikaty aktualizacji rzadko wyskakują w formie reklamy na przypadkowej stronie. Scenariusz malvertisingowy jest inny:

  • odwiedzasz stronę zupełnie niezwiązaną z oprogramowaniem (np. portal z poradami, blog, stronę z memami),
  • w pewnym momencie pojawia się baner „Zaktualizuj Chrome/Edge/Playera, aby kontynuować”,
  • kliknięcie prowadzi do pobrania pliku wykonywalnego z niewiarygodnej domeny.

Wyjątkiem mogą być autentyczne komunikaty samej przeglądarki, ale te pojawiają się w jej interfejsie, a nie w treści obcej strony. Jeżeli „aktualizacja Chrome” ma rozszerzenie .exe lub .msi pobierane z losowej domeny, a nie ze strony Google czy sklepu z aplikacjami, nie jest to aktualizacja, tylko potencjalne malware.

„Zainstaluj rozszerzenie, aby obejrzeć film / pobrać plik”

Kolejny często spotykany scenariusz: reklama lub nakładka na stronie, która blokuje treść i sugeruje, że do jej odblokowania potrzebne jest specjalne rozszerzenie przeglądarki.

Najczęstsze preteksty:

  • „Brak wtyczki do odtwarzania tego wideo, zainstaluj rozszerzenie X”,
  • „Aby pobrać plik z większą prędkością, zainstaluj nasz akcelerator”,
  • „Aby dalej korzystać z serwisu za darmo, dodaj nasze rozszerzenie do przeglądarki”.

Takie rozszerzenia często proszą o uprawnienia typu „odczytywanie i zmienianie wszystkich danych na odwiedzanych stronach”. To w praktyce pełny dostęp do tego, co robisz w przeglądarce – od historii po formularze logowania.

Legalne rozszerzenia też proszą czasem o szerokie uprawnienia, ale różnica tkwi w źródle: instalacja z oficjalnego sklepu (Chrome Web Store, Firefox Add-ons) i z wiarygodnego wydawcy vs. instalacja z pojedynczej, anonimowej strony, która trafiła do ciebie przez reklamę.

„Zbyt dobre, by było prawdziwe” – oferty inwestycyjne i krypto

Malvertising często bywa łączony z oszustwami inwestycyjnymi. Celem nie zawsze jest natychmiastowa infekcja – czasem reklama pcha ofiarę w dłuższy proces wyłudzania pieniędzy, a malware jest tylko dodatkiem do „opieki” nad ofiarą.

Charakterystyczne elementy:

  • obietnice szybkiego, bezwysiłkowego zysku („zarabiaj 5000 zł tygodniowo bez doświadczenia”),
  • powoływanie się na rzekome wypowiedzi znanych osób, często z podrobionymi zrzutami ekranów programów informacyjnych,
  • domeny udające serwisy finansowe lub media, ale z drobnymi literówkami,
  • formularz rejestracyjny połączony z namową do instalacji „panelu inwestora” lub „bezpiecznego portfela”.

Takie „panele” nierzadko zawierają backdoory, keyloggery albo funkcje zdalnego pulpitu. Ofiara myśli, że loguje się do systemu inwestycyjnego, a w tle ktoś przejmuje pełną kontrolę nad komputerem.

Haker przy laptopie w ciemnym pomieszczeniu z kodem na ekranie
Źródło: Pexels | Autor: Sora Shimazaki

Jakie luki techniczne wykorzystuje malvertising

Przeglądarki i ich silniki renderujące

Choć przeglądarki są coraz lepiej zabezpieczone, w praktyce niemal co roku pojawiają się podatności umożliwiające wykonanie złośliwego kodu. Z punktu widzenia malvertisingu kluczowe są błędy typu:

  • remote code execution (RCE) – pozwalają uruchomić dowolny kod na komputerze ofiary przy odwiedzeniu strony,
  • sandbox escape – umożliwiają wyjście poza piaskownicę przeglądarki, czyli uzyskanie dostępu do systemu plików, procesu systemowego itd.,
  • use‑after‑free, buffer overflow i inne klasyczne błędy pamięci, które można „ubrać” w exploit.

Atakujący śledzą publikacje biuletynów bezpieczeństwa vendorów (Chrome, Firefox, Edge, Safari). Jeżeli użytkownicy opóźniają aktualizacje, powstaje okno czasowe, w którym dana luka jest publicznie znana, ale wciąż nienaprawiona na wielu komputerach. To idealny moment na wprowadzenie kampanii malvertisingu celującej w konkretne wersje przeglądarek.

Stare wtyczki i komponenty, które „powinny być martwe, ale żyją”

Flash, Java w przeglądarce, Silverlight – oficjalnie ich czas minął, ale w praktyce w wielu środowiskach wciąż działają stare aplikacje, które wymagają tych technologii. To łakomy kąsek.

Typowy schemat:

  • reklama wykrywa obecność określonej wtyczki i jej wersję,
  • jeżeli wersja jest podatna, skrypt ładuje odpowiedni exploit,
  • malware instaluje się „pod przykrywką” działania wtyczki.

W firmach bywa to szczególnie bolesne: jedna przestarzała wtyczka utrzymywana dla starego systemu wewnętrznego staje się bramą do sieci korporacyjnej. Z punktu widzenia użytkownika reklama „tylko coś wyświetliła”, a w tle doszło do kompromitacji stacji roboczej.

Biblioteki multimedialne i kodeki

Nie tylko wtyczki są celem. Atakujący wykorzystują także błędy w bibliotekach odpowiedzialnych za dekodowanie obrazów, wideo czy czcionek. Przeglądarka, próbując wyświetlić np. obraz w nietypowym formacie, może uruchomić podatną funkcję.

Reklamy to wdzięczny wektor, bo:

  • naturalnie zawierają obrazy, animacje i różne formaty multimediów,
  • serwery reklamowe mogą dynamicznie podmieniać zasoby, testując różne exploit payloady,
  • część filtrów bezpieczeństwa skupia się na skryptach, a nie na zawartości samych plików graficznych.

Stąd nacisk producentów systemów na izolację procesów renderujących (np. osobne procesy dla kart w Chrome/Edge), ale pełnej odporności nie ma.

Luki w samych silnikach reklamowych i skryptach analitycznych

Ekosystem reklamowy to nie tylko przeglądarka i serwer. Pomiędzy nimi działa wiele bibliotek JavaScript: systemy aukcyjne (real‑time bidding), trackery, narzędzia do personalizacji. Każda z tych warstw to potencjalne miejsce na podatność.

Możliwe scenariusze:

  • atak XSS (Cross‑Site Scripting) w panelu reklamowym – wstrzyknięcie złośliwego skryptu, który potem „rozlewa się” po stronach klientów,
  • błędy w API służącym do wgrywania kreacji reklamowych – umożliwiające obejście weryfikacji plików,
  • luki w systemach tag‑managerów (np. błędnie skonfigurowane uprawnienia do osadzanych skryptów).

Z perspektywy użytkownika końcowego różnicy nie widać: efekt jest taki sam – na stronie pojawia się reklama, która wykonuje to, czego nie powinna. Dla administratorów serwisów to istotny sygnał, że bezpieczeństwo nie kończy się na „https i aktualnym CMS‑ie”.

Łańcuchy exploitów: jedna drobna luka otwiera drogę innym

Zaawansowane kampanie malvertisingu używają tzw. exploit chain. Pojedyncza luka często nie wystarcza, więc łączy się kilka podatności:

  1. błąd w przeglądarce umożliwia uruchomienie złośliwego kodu w piaskownicy,
  2. inna luka pozwala opuścić piaskownicę i uzyskać uprawnienia użytkownika,
  3. kolejny exploit eskaluje uprawnienia do administratora.

Takie łańcuchy są drogie w przygotowaniu, więc częściej pojawiają się w atakach na konkretne cele (np. dziennikarzy, pracowników określonych branż) niż w masowych kampaniach. Niemniej logika pozostaje ta sama: reklama jest punktem wejścia, a reszta dzieje się w tle.

Techniki omijania filtrów i systemów bezpieczeństwa

Systemy antywirusowe, filtry w przeglądarkach i w sieciach reklamowych wcale nie śpią. Atakujący więc stosują szereg trików, żeby prześlizgnąć się przez obronę:

  • geotargetowanie – złośliwy kod serwowany tylko dla użytkowników z wybranego kraju, co utrudnia testowanie z innych lokalizacji,
  • czasowe uaktywnienie – kampania przez kilka dni jest czysta, potem w nocy lub w weekend podmienia się payload,
  • fingerprinting – wykrywanie środowisk analitycznych (maszyn wirtualnych, sandboxów) i serwowanie im „niewinnej” wersji reklamy,
  • obsfuskacja i szyfrowanie skryptów – kod wygląda na losowy, jest dekodowany dopiero w przeglądarce, często warunkowo.

To powoduje, że pojedynczy „czysty” skan reklamy niewiele znaczy. Kluczowe jest monitorowanie zachowania w czasie i analiza ruchu sieciowego, a nie tylko statyczna zawartość plików.

Gdzie malvertising spotyka się najczęściej – mity i rzeczywistość

„Tylko podejrzane strony”? Nie do końca

Powszechne przekonanie, że malvertising czyha wyłącznie na stronach z pirackimi filmami czy pornografią, jest tylko częściowo prawdziwe. Tego typu serwisy rzeczywiście częściej współpracują z mniej renomowanymi sieciami reklamowymi, ale:

  • duże portale i serwisy informacyjne także korzystają z zewnętrznych dostawców reklam,
  • atakujący celowo wybierają „porządne” strony, bo budzą większe zaufanie,
  • kampanie mogą przechodzić weryfikację jako nieszkodliwe, a dopiero potem zmieniać zachowanie.

W efekcie nie ma prostego podziału na „bezpieczne” i „niebezpieczne” domeny. Ryzyko rośnie tam, gdzie jest dużo zewnętrznych skryptów reklamowych i tam, gdzie utrudniona jest pełna kontrola nad łańcuchem dostaw treści.

Serwisy streamingowe, VOD i strony z „darmowymi” treściami

Platformy z filmami online i transmisjami na żywo

Serwisy streamingowe – zarówno legalne VOD, jak i szare strefy z „darmowymi” transmisjami sportu – są wygodnym nośnikiem malvertisingu z prostego powodu: użytkownik zostaje tam na długo. Im więcej czasu na stronie, tym więcej szans na wyświetlenie i przeładowanie reklam.

Najbardziej ryzykowny miks to:

  • strona z nielegalnymi transmisjami,
  • wiele odtwarzaczy „kliknij, aby obejrzeć”,
  • agresywne pop‑upy i powiadomienia „włącz Flash/rozszerzenie, aby kontynuować”.

Typowy scenariusz: użytkownik odwiedza stronę z meczem, klika w pozorny przycisk „Play”, a faktycznym celem jest ramka reklamowa, która otwiera nową kartę z fałszywą aktualizacją lub instalatorem. W wielu przypadkach nie dochodzi od razu do klasycznego „drive‑by”, tylko do dłuższej sekwencji socjotechniczno‑technicznej (dociąganie instalatora, zgody na uprawnienia, wyłączanie ochrony).

Legalne serwisy VOD są zwykle znacznie lepiej zabezpieczone, ale też nie są sterylne. Korzystają z zewnętrznych sieci reklamowych w playerach (pre‑rolle, mid‑rolle, overlaye). Raz na jakiś czas pojawiają się przypadki, w których złośliwa kreacja przedostaje się przez system weryfikacji i jest wyświetlana w trakcie reklam przed filmem. Ryzyko jest mniejsze niż w szarej strefie, jednak nie jest zerowe.

Aplikacje webowe „darmowe za oglądanie reklam”

Różne generatory PDF, konwertery plików, trackery przesyłek czy „przyspieszacze komputera” oparte o stronę www lubią finansować się reklamą. Część z nich korzysta z wielu jednoczesnych dostawców reklam, żeby zmaksymalizować zyski. Z punktu widzenia bezpieczeństwa oznacza to skomplikowany łańcuch zależności – a każdy dodatkowy skrypt to potencjalna furtka.

W praktyce wygląda to tak, że użytkownik szuka w Google „połącz PDF online”, wchodzi w pierwszy wynik z dopiskiem „AD” i dostaje stronę pełną banerów: z boku, pod formularzem, nad przyciskiem pobierania. Jeden z nich może być całkowicie poprawny, drugi zaś prowadzić do fałszywego skanera antywirusowego. Sama usługa (łączenie PDF) może być uczciwa, natomiast malvertising jest „przywieziony” przez sieć reklamową.

Strony lokalnych mediów, blogi branżowe i portale tematyczne

Rzadziej mówi się o tym, że małe i średnie portale – lokalne gazety, blogi tematyczne, fora – często nie mają własnych zespołów bezpieczeństwa ani budżetu na audyty. Polegają na gotowych modułach reklamowych i skryptach dostawców, nie do końca rozumiejąc całą ścieżkę ładowania reklamy.

Takie serwisy nierzadko:

  • ładują kilka równoległych sieci reklamowych, co tworzy gęstą pajęczynę zewnętrznych skryptów,
  • używają przestarzałych systemów CMS z dodatkowymi wtyczkami,
  • mają słabą segmentację uprawnień (jeden skompromitowany panel redaktora potrafi „zasilić” całą stronę złośliwym kodem).

Rezultat jest paradoksalny: użytkownik omija wielkie portale, bo „tam jest dużo reklam”, a tymczasem na małym, sympatycznym portalu lokalnym trafia reklamę zawierającą exploit. Różnica polega głównie na tym, że większy gracz szybciej reaguje, ma formalne procedury zgłaszania incydentów i współpracy z dostawcami reklam. Mniejsi często dowiadują się o problemie dopiero od wkurzonych czytelników.

„Darmowe” gry przeglądarkowe i serwisy z modyfikacjami

Ekosystem gier free‑to‑play opartych na przeglądarce oraz stron z modyfikacjami (modami) do popularnych tytułów jest bardzo atrakcyjny dla operatorów malvertisingu. Dochodzi tu kilka czynników naraz: młodsza grupa użytkowników, gotowość do instalowania dodatków i pluginów, a także zaufanie do „społeczności”.

Na stronach z modami czy „cheatami” do gier typowy łańcuch bywa następujący:

  1. reklama zachęca do pobrania „boostera FPS” lub „auto‑aim bota”,
  2. po kliknięciu użytkownik trafia na stronę udającą launcher / installer,
  3. instalator prosi o dodatkowe uprawnienia, wyłączenie ochrony w antywirusie „bo inaczej wykryje cheat jako wirusa”,
  4. w tle instalowane jest faktyczne malware.

Nie zawsze exploit jest potrzebny – już sama presja na wyłączanie ochrony i instalowanie niezweryfikowanego oprogramowania załatwia sprawę. Malvertising pełni tu rolę maszynki do selekcjonowania „klikliwych” ofiar i przekierowywania ich do odpowiednich payloadów.

Różnice geograficzne i językowe w kampaniach

Malvertising mocno różni się w zależności od kraju i języka. Niektóre kampanie celują wyłącznie w użytkowników z określonego regionu, bo tam łatwiej zamaskować treść lub istnieją konkretne programy finansowe, które da się podszyć (np. lokalne tarcze antykryzysowe, dopłaty rządowe, świadczenia socjalne).

Reklama może wykorzystywać:

  • lokalny język, ale z charakterystycznymi błędami stylistycznymi i składniowymi,
  • odwołania do znanych mediów lub instytucji państwowych, podrabiając ich logotypy,
  • tematy gorące politycznie czy gospodarczo (zmiany w podatkach, dopłaty do energii) jako przynętę do kliknięcia.

Z punktu widzenia użytkownika oznacza to, że filtr „to jest po polsku i wygląda jak z naszej telewizji” nie wystarcza. Jednym z częstszych błędów jest uznanie, że dobrze przygotowana kampania z lokalnym copywriterem „na pewno nie jest oszustwem, bo przecież ktoś się napracował”. To tylko kwestia kalkulacji zwrotu z inwestycji po stronie atakującego.

Kręgi zainteresowań o wysokiej wartości dla atakującego

Nie każda branża jest tak samo atrakcyjna. Sektor finansowy, medyczny, prawniczy czy ICT często staje się celem kampanii, w których reklamy są kierowane do osób czytających specjalistyczne portale i blogi. Nawet jeśli pojedynczy użytkownik nie ma wysokich uprawnień, to jego komputer bywa dobrym punktem wejścia do sieci firmowej.

W takich kampaniach kreacje potrafią być bardzo dopasowane tematycznie, np. baner „webinar o nowym rozporządzeniu” na portalu prawniczym, prowadzący do strony z exploitem w przeglądarce lub do formularza zapisu wymagającego instalacji „wtyczki do transmisji”. Na pierwszy rzut oka wszystko pasuje do kontekstu, dlatego klasyczne rady w stylu „nie klikaj w dziwne reklamy” są tu mało użyteczne. Reklama nie wygląda dziwnie – jest do bólu normalna.

Jak rozpoznać podejrzaną reklamę w praktyce

Elementy wizualne, które powinny zapalić lampkę ostrzegawczą

Nie ma nieomylnego „widocznego” testu na malvertising, bo część kampanii jest przygotowana bardzo profesjonalnie. Mimo to w praktyce pewne wzorce powtarzają się tak często, że da się zbudować zestaw sygnałów ostrzegawczych.

Do najczęstszych należą:

  • agresywne animacje – migające przyciski „DOWNLOAD”, liczniki odliczające czas, komunikaty „Twój komputer jest zagrożony” w formie baneru,
  • imitowanie systemowych okienek – reklama, która wygląda jak natywne okno Windows/macOS (z paskiem tytułu, pseudo‑przyciskami zamknij/minimalizuj),
  • nadmiar znaków interpunkcyjnych i wielkich liter – „PILNE!!!”, „NATYCHMIAST ZAKTUALIZUJ” itp.,
  • dziwne mieszanki językowe – np. część tekstu po polsku, część po angielsku, tłumaczenia z translatora.

Warto przy tym rozdzielić dwie rzeczy: tandetny wygląd reklamy nie zawsze oznacza malware, często to po prostu nachalny marketing. Natomiast profesjonalny wygląd również nie gwarantuje bezpieczeństwa – sporo złośliwych kampanii inwestuje w sensowny design właśnie po to, żeby nie rzucać się w oczy.

Co zdradza adres docelowy po kliknięciu

Jeżeli kliknięcie w reklamę otwiera nową kartę (lub okno), pierwszy odruch to zerknięcie na pasek adresu. Nie chodzi o paranoiczne analizowanie każdego znaku, ale kilka prostych kontroli potrafi wychwycić sporo wpadek.

Najbardziej klasyczne symptomy:

  • domena „na literówkę” – zamiast bankxyz.pl pojawia się banckxyz.com lub bankxyz‑secure.com,
  • losowe ciągi znaków w domenie głównej, np. jksd89f‑secure‑update.com,
  • długie łańcuchy przekierowań – adres na chwilę miga kilkoma różnymi domenami zanim się ustabilizuje,
  • brak szyfrowania – poważne podmioty praktycznie nie używają już HTTP bez HTTPS, szczególnie w kontekście logowania czy płatności.

Tu też zdarzają się wyjątki. Niekiedy legalne kampanie operują na subdomenach z długimi identyfikatorami sesji albo korzystają z zewnętrznych platform do mierzenia ruchu. Sama skomplikowana struktura URL nie przesądza więc o złośliwości. Natomiast połączenie kilku czynników – losowa domena, agresywny komunikat, żądanie instalacji pliku – jest już bardzo mocnym wskaźnikiem, że coś jest nie tak.

Zachowanie strony po załadowaniu reklamy

Nawet jeśli baner wygląda „normalnie”, sposób, w jaki strona się zachowuje po jego załadowaniu, potrafi zdradzić malvertising. Kilka czerwonych flag:

  • samoczynne otwieranie nowych kart lub okien bez kliknięcia,
  • nagłe przekierowanie całej strony na inny adres (szczególnie na mobilu),
  • blokada interfejsu – nie można przewinąć strony ani jej zamknąć, dopóki nie kliknie się w wyskakujące okno,
  • popupy podszywające się pod komunikaty przeglądarki, np. „Zainstaluj wtyczkę, aby kontynuować”, mimo że strona do tej pory działała bez niej.

Takie zachowania nie zawsze oznaczają exploit w sensie ścisłym, ale pokazują, że po drugiej stronie nikt nie dba o standardy. Jeśli dodatkowo strona zaczyna prosić o uprawnienia do powiadomień, geolokalizacji, odczytu schowka czy innych nadmiarowych dostępów, ryzyko rośnie.

Prośby o nietypowe zgody i uprawnienia

Najgroźniejsze kampanie malvertisingu często kończą się próbą wyciągnięcia od użytkownika dodatkowych zgód. To jest etap, na którym użytkownik ma jeszcze realny wpływ na rezultat ataku. W praktyce problemy zaczynają się wtedy, kiedy reklama lub strona po kliknięciu:

  • żąda instalacji rozszerzenia do przeglądarki „do oglądania wideo” lub „blokowania reklam”,
  • proponuje pobranie pliku EXE/DMG/APPX jako „aktualizacji przeglądarki” lub „kodeka”,
  • namawia do zmiany ustawień bezpieczeństwa (wyłączenie SmartScreen, antywirusa, bramki EDR w firmie),
  • żąda dostępu do uprawnień typowo niepotrzebnych na stronie www (np. odczyt haseł, historii przeglądania, kluczy U2F przez rozszerzenie).

Niektóre legalne usługi też potrzebują rozszerzeń (np. menedżery haseł), więc sam fakt prośby o instalację dodatku nie jest automatycznie zły. Różnica polega na tym, że w uczciwym scenariuszu inicjatywa zwykle wychodzi z już znanej usługi, do której użytkownik sam wszedł, a nie z przypadkowej reklamy. Jeśli pierwszy kontakt z marką następuje poprzez banner krzyczący „Zainstaluj teraz, aby naprawić błędy”, punkty ryzyka się mnożą.

Jak reagować na podejrzaną reklamę – minimalny zestaw odruchów

Z punktu widzenia praktyki przydaje się kilka prostych odruchów, które ograniczają szkody, nawet gdy coś już klikniemy:

  • natychmiast zamknij kartę, jeśli widzisz fałszywy alert „Twoje urządzenie jest zainfekowane, zadzwoń…”. Nie klikaj przycisków w samym okienku pop‑up – lepiej zamknąć całą kartę lub przeglądarkę z poziomu paska zadań / docka,
  • nie pobieraj plików wykonywalnych (EXE, MSI, DMG, APK) wprost po reklamie, zwłaszcza jeśli nie szukałeś konkretnego programu z nazwy,
  • sprawdź historię pobierania w przeglądarce – jeśli coś pobrało się „samo”, usuń plik i przeskanuj system,
  • nie dzwoń pod numery telefonów podawane w pop‑upach z rzekomą „pomocą techniczną Microsoft/Apple/banku”. Legalne firmy nie reklamują infolinii w ten sposób.

W środowisku firmowym dodatkowo dochodzi aspekt zgłaszania incydentu. Nawet jeśli atak się nie udał (antywirus zablokował plik, rozszerzenie nie zostało zainstalowane), informacja o podejrzanej reklamie bywa cenna dla działu bezpieczeństwa. Często pozwala wykryć kampanię, zanim uderzy w mniej ostrożnych pracowników.

Podejrzane reklamy a fałszywe alarmy

Najczęściej zadawane pytania (FAQ)

Co to jest malvertising i czym różni się od zwykłych reklam w przeglądarce?

Malvertising to złośliwe reklamy – kampanie, w których baner, wideo czy wyskakujące okno nie służy głównie sprzedaży produktu, ale jest nośnikiem ataku. Reklama może zawierać skrypty próbujące wykorzystać luki w przeglądarce, podszywać się pod aktualizacje systemu lub przekierowywać na strony phishingowe.

Zwykła reklama, nawet bardzo nachalna, irytuje, ale nie próbuje instalować plików bez Twojej zgody ani wyłudzać haseł. Malvertising nastawia się na:

  • instalację malware (trojany, ransomware, koparki kryptowalut),
  • phishing (loginy, hasła, dane kart),
  • przejęcie sesji przeglądarki lub dołączenie komputera do botnetu.

Różnica bywa subtelna wizualnie, ale kluczowa jest intencja i to, co dzieje się „pod maską” reklamy.

Czy mogę zarazić komputer tylko przez samo wyświetlenie reklamy, bez klikania?

Tak, w niektórych scenariuszach jest to możliwe. Chodzi o tzw. ataki drive-by download, gdy złośliwy kod w reklamie wykorzystuje lukę w przeglądarce lub wtyczce (np. starej wtyczce multimedialnej) i samodzielnie pobiera oraz uruchamia malware. Użytkownik jedynie otwiera stronę zawierającą zainfekowaną reklamę.

To jednak nie jest „magia”, tylko efekt zaniedbań technicznych. Aby taki atak się udał, zwykle musi zadziałać kilka czynników naraz: przestarzała przeglądarka lub wtyczki, brak aktualnych łatek bezpieczeństwa, często również brak działającego antywirusa lub ochrony w czasie rzeczywistym. Na w pełni aktualnym systemie ryzyko spada, ale nie znika całkowicie.

Jak rozpoznać, że reklama jest złośliwa, a nie tylko nachalna?

Nie ma stuprocentowo pewnej metody „na oko”, bo cyberprzestępcy celowo kopiują wygląd legalnych komunikatów. Można jednak wychwycić kilka charakterystycznych sygnałów ostrzegawczych:

  • reklama udaje systemowe okienko Windows/macOS (np. fałszywe „Centrum zabezpieczeń”, pseudo-skany dysku),
  • grozi natychmiastową utratą danych, jeśli nie klikniesz w ciągu kilkunastu sekund,
  • twierdzi, że znaleziono „kilkaset wirusów” przed jakimkolwiek realnym skanowaniem,
  • zachęca do pobrania „pilnej aktualizacji” przeglądarki, Flasha, kodeków itp. z dziwnej domeny.

Agresywne, ale legalne reklamy zwykle prowadzą do sklepu lub landing page produktu i nie wymagają instalacji plików ani podawania wrażliwych danych „już teraz, natychmiast”. Jeśli reklama wciela się w rolę antywirusa, systemu operacyjnego lub banku – traktuj ją z dużą rezerwą.

Dlaczego nawet duże i znane portale pokazują złośliwe reklamy?

Większość portali nie sprzedaje reklam bezpośrednio – korzysta z łańcucha pośredników: sieci reklamowych i brokerów. To oznacza kilka punktów, w których może wejść przestępca: zakłada konto jak zwykły reklamodawca, przechodzi wstępną moderację „czystymi” kreacjami, a dopiero później podmienia skrypty na złośliwe.

Dodatkowo złośliwy ładunek bywa serwowany selektywnie – np. tylko użytkownikom z konkretnego kraju, tylko na starszych przeglądarkach, tylko w określonych godzinach. Filtry antywirusowe sieci reklamowych nie zawsze to wychwytują, bo na pierwszy rzut oka kampania wygląda jak każda inna. Stąd paradoks: znany portal może być ofiarą równie dobrze jak mała, mało znana strona.

Jak zabezpieczyć przeglądarkę przed malvertisingiem w praktyce?

Najwięcej dają proste kroki techniczne, które niestety często są zaniedbywane:

  • aktualizuj przeglądarkę i system operacyjny (automatyczne aktualizacje włączone, nieodkładane miesiącami),
  • usuń stare, nieużywane wtyczki i rozszerzenia; te, które zostają, aktualizuj na bieżąco,
  • używaj sprawdzonego antywirusa z ochroną przeglądarki lub modułem web/URL filtering.

Dodatkowo można rozważyć:

  • rozszerzenia blokujące reklamy i skrypty śledzące (AdGuard, uBlock Origin, Privacy Badger itp.),
  • uruchomienie „trybu zaawansowanego” blokady treści – np. blokowanie JavaScript z nieznanych domen,
  • profil „do ryzykownych stron” w osobnej przeglądarce/koncie, z ograniczonymi uprawnieniami.

Pełna blokada reklam zmniejsza ryzyko malvertisingu, ale nie jest jedyną opcją – często wystarczy połączenie aktualnego systemu, rozsądnego blokera i podstawowej higieny kliknięć.

Co zrobić, jeśli kliknąłem podejrzaną reklamę lub pobrałem podejrzany plik?

Im wcześniej zareagujesz, tym większa szansa, że skończy się na strachu. Minimalny zestaw kroków:

  • przerwij dalsze działania: zamknij kartę/okno, nie instaluj pobranego pliku, nie podawaj żadnych danych,
  • przeskanuj system pełnym skanem antywirusowym (nie tylko „szybkim” trybem),
  • jeśli zdążyłeś podać loginy/hasła – zmień je z innego, czystego urządzenia i włącz 2FA tam, gdzie się da.

Jeżeli plik został uruchomiony, a zaczynają się dziać niepokojące rzeczy (nagłe spowolnienia, nieznane programy, dziwne rozszerzenia przeglądarki), warto dodać drugi skan narzędziem typu „second opinion” (np. skaner offline) i rozważyć konsultację z kimś technicznym. Przy podejrzeniu ransomware wyłącz komputer, nie podłączaj dysków zewnętrznych i nie eksperymentuj na oślep.

Czy adblock całkowicie chroni przed malvertisingiem?

Adblock znacząco zmniejsza powierzchnię ataku, bo fizycznie nie ładuje wielu elementów reklamowych – a więc i złośliwych skryptów. Dla typowych kampanii malvertisingowych jest to realna przeszkoda. Trzeba jednak uwzględnić kilka „ale”:

  • nie wszystkie reklamy są blokowane, część sieci stosuje techniki omijania filtrów,
  • niektóre wtyczki adblock są same w sobie podejrzane – warto trzymać się znanych, otwartoźródłowych projektów,
  • adblock nie zastąpi aktualizacji systemu, przeglądarki i sensownego antywirusa.

Rozsądne założenie: dobry adblock to mocne wzmocnienie ochrony, ale nie „tarcza absolutna”. Nadal trzeba uważać na to, co się klika, gdzie się podaje hasła i skąd pobiera programy.

Inne wpisy na ten temat:

Poprzedni artykułJak złożyć cichy komputer: dobór wentylatorów, krzywe w BIOS i wyciszenie obudowy
Elżbieta Jabłoński
Elżbieta Jabłoński
Elżbieta Jabłoński koncentruje się na testach sprzętu i praktycznych aspektach użytkowania technologii. Sprawdza wydajność, kulturę pracy, temperatury i realny czas działania, a wyniki opisuje w kontekście konkretnych zastosowań: pracy zdalnej, nauki, gier czy zadań kreatywnych. W recenzjach zwraca uwagę na jakość wykonania, serwis, kompatybilność i opłacalność, unikając marketingowych skrótów. Jej materiały powstają na podstawie własnych pomiarów i dłuższego użytkowania, z naciskiem na uczciwe wnioski.