互聯(lián)網(wǎng)在線廣告已經(jīng)被證明是一種非常有效的工具——在短時(shí)間內(nèi)傳播惡意軟件到大量站點(diǎn)這一方面。計(jì)劃攻擊廣告服務(wù)提供者的攻擊者們很容易就可以和數(shù)百萬(wàn)看到廣告的用戶群體建立聯(lián)系。

[[85353]]

近日，Blue Coat 的研究者們發(fā)現(xiàn)了一次大規(guī)模的惡意軟件活動(dòng)，這次惡意軟件活動(dòng)的一部分就包括將用戶重定向到指定站點(diǎn)的惡意廣告，而被重定向的目標(biāo)站點(diǎn)則是掛載了Blackhole Exploit 工具集的惡意站點(diǎn)。

據(jù)研究員Chris Larsen所說(shuō)，“截止到8月23日，像洛杉磯時(shí)報(bào)(Los Angeles Times)、Salon、財(cái)政時(shí)報(bào)(The Fiscal Times)、婦女健康雜志(Women’s Health magazine)、美國(guó)新聞(US News)以及其他很多站點(diǎn)仍掛載著“為惡意軟件服務(wù)”的廣告，直到這次惡意軟件活動(dòng)愈演愈烈。” 除了這些新聞?wù)军c(diǎn)，很多受歡迎的線上調(diào)查和問卷站點(diǎn)也在此次惡意軟件活動(dòng)中扮演了重要的角色(網(wǎng)站掛載惡意廣告)。

在此次攻擊中其中一個(gè)被發(fā)現(xiàn)的域名是adhidclick[.]com，該域名自被注冊(cè)后一直未被使用，直到8月22日它開始將流量重定向到Blackhole的站點(diǎn)群(searcherstypediscksruns[.]com/[.]net/[.]org)中。

“所有它將流量導(dǎo)向的站點(diǎn)都是惡意的”，Larsen在本周的博客中寫到。“所有這些都是在去年被(匿名)注冊(cè)的，沉睡了至少八個(gè)月(接近一年，在某種意義上可以這么說(shuō)!)，在八月份被啟動(dòng)使用了一些天，轉(zhuǎn)發(fā)它的流量份額，然后繼續(xù)休眠。這是一次令人印象深刻的巨大的(極具耐心的!)惡意廣告行為。”

對(duì)于中間介質(zhì)層的站點(diǎn)來(lái)說(shuō)這次的主要流量另有源頭，其主要來(lái)自大量被廣告放在洛杉磯時(shí)報(bào)(LA Times)，婦女健康雜志(Womens Health)等站點(diǎn)上的媒體和潛在顧客挖掘(lead-generation)站點(diǎn)。一些被Blue Coat認(rèn)證過(guò)的廣告提供商包括DoubleClick，Adnxs 等。

就單一站點(diǎn)來(lái)說(shuō)，dielead[.]com 在一周內(nèi)收到了接近6k次的點(diǎn)擊，而另外的gerlead[.]com 則在兩周內(nèi)得到了12k次的點(diǎn)擊量。大約有25家媒體和潛在用戶挖掘站點(diǎn)在此次活動(dòng)中受益，所有這些受益的站點(diǎn)都有一個(gè)共性—— 在此次活動(dòng)開始前數(shù)月被注冊(cè)。

“對(duì)于這些站點(diǎn)來(lái)說(shuō)很長(zhǎng)的冬眠時(shí)間非常有趣”，Larsen寫到。“第二點(diǎn)非常有趣的是這次攻擊是如何被彼此分割開的—— 壞人使得這些假的廣告域名跳轉(zhuǎn)到受信的具有不同目標(biāo)定位的市場(chǎng)，以至于即使一個(gè)被發(fā)現(xiàn)，整體的攻擊仍然能夠得以進(jìn)行。”

被點(diǎn)擊量和廣告效果的利益所驅(qū)使的攻擊者可以由這些模式兌換到金錢，這種情況可能或變得更糟。調(diào)查顯示在一個(gè)月以前的美國(guó)黑帽大會(huì)上就有人展示攻擊者是如何操縱廣告網(wǎng)絡(luò)分發(fā)惡意的javascript。白帽子安全研究員的Jeremiah Grossman 和Matt Johansen 則展示了攻擊者如何花費(fèi)很少的金錢就在一個(gè)受歡迎的網(wǎng)絡(luò)上購(gòu)買一則廣告，然后創(chuàng)建他們的瀏覽器僵尸網(wǎng)絡(luò)去分發(fā)他們的代碼，而這一切都只是基于廣告網(wǎng)絡(luò)。一些廣告網(wǎng)絡(luò)很難檢測(cè)出javascript的安全問題;兩個(gè)研究者指出他們可以在某些情況下通過(guò)關(guān)鍵詞和地點(diǎn)定位他們的廣告。一旦代碼被分發(fā)到互聯(lián)網(wǎng)上，攻擊者就可以一直控制被攻擊者的瀏覽器只要瀏覽器的Session仍然存在。

此后不久，帕羅奧圖市(美國(guó)加利佛尼亞州)網(wǎng)絡(luò)的研究員揭開了一個(gè)新的惡意軟件鏈接——該惡意軟件以合法的Android應(yīng)用形式安裝，然后在后臺(tái)回連到移動(dòng)廣告網(wǎng)絡(luò)從用戶機(jī)器上獲取金錢。該應(yīng)用會(huì)等待用戶安裝其他應(yīng)用，然后彈出對(duì)話框要求進(jìn)一步安裝其他代碼的權(quán)限，實(shí)際上該行為被證明是惡意的，同時(shí)該應(yīng)用也會(huì)獲取設(shè)備SMS應(yīng)用的控制權(quán)并開始發(fā)送消費(fèi)的短信到攻擊者架設(shè)的服務(wù)上。

原文地址：http://threatpost.com/malware-campaign-leverages-ad-networks-sends-victims-to-blackhole/102213]