互联网在线广告已经被证明是一种非常有效的工具——在短时间内传播恶意软件到大量站点这一方面。计划攻击广告服务提供者的攻击者们很容易就可以和数百万看到广告的用户群体建立联系。
近日,Blue Coat 的研究者们发现了一次大规模的恶意软件活动,这次恶意软件活动的一部分就包括将用户重定向到指定站点的恶意广告,而被重定向的目标站点则是挂载了Blackhole Exploit 工具集的恶意站点。
据研究员Chris Larsen所说,“截止到8月23日,像洛杉矶时报(Los Angeles Times)、Salon、财政时报(The Fiscal Times)、妇女健康杂志(Women’s Health magazine)、美国新闻(US News)以及其他很多站点仍挂载着“为恶意软件服务”的广告,直到这次恶意软件活动愈演愈烈。” 除了这些新闻站点,很多受欢迎的线上调查和问卷站点也在此次恶意软件活动中扮演了重要的角色(网站挂载恶意广告)。
在此次攻击中其中一个被发现的域名是adhidclick[.]com,该域名自被注册后一直未被使用,直到8月22日它开始将流量重定向到Blackhole的站点群(searcherstypediscksruns[.]com/[.]net/[.]org)中。
“所有它将流量导向的站点都是恶意的”,Larsen在本周的博客中写到。“所有这些都是在去年被(匿名)注册的,沉睡了至少八个月(接近一年,在某种意义上可以这么说!),在八月份被启动使用了一些天,转发它的流量份额,然后继续休眠。这是一次令人印象深刻的巨大的(极具耐心的!)恶意广告行为。”
对于中间介质层的站点来说这次的主要流量另有源头,其主要来自大量被广告放在洛杉矶时报(LA Times),妇女健康杂志(Womens Health)等站点上的媒体和潜在顾客挖掘(lead-generation)站点。一些被Blue Coat认证过的广告提供商包括DoubleClick,Adnxs 等。
就单一站点来说,dielead[.]com 在一周内收到了接近6k次的点击,而另外的gerlead[.]com 则在两周内得到了12k次的点击量。大约有25家媒体和潜在用户挖掘站点在此次活动中受益,所有这些受益的站点都有一个共性—— 在此次活动开始前数月被注册。
“对于这些站点来说很长的冬眠时间非常有趣”,Larsen写到。“第二点非常有趣的是这次攻击是如何被彼此分割开的—— 坏人使得这些假的广告域名跳转到受信的具有不同目标定位的市场,以至于即使一个被发现,整体的攻击仍然能够得以进行。”
被点击量和广告效果的利益所驱使的攻击者可以由这些模式兑换到金钱,这种情况可能或变得更糟。调查显示在一个月以前的美国黑帽大会上就有人展示攻击者是如何操纵广告网络分发恶意的javascript。白帽子安全研究员的Jeremiah Grossman 和Matt Johansen 则展示了攻击者如何花费很少的金钱就在一个受欢迎的网络上购买一则广告,然后创建他们的浏览器僵尸网络去分发他们的代码,而这一切都只是基于广告网络。一些广告网络很难检测出javascript的安全问题;两个研究者指出他们可以在某些情况下通过关键词和地点定位他们的广告。一旦代码被分发到互联网上,攻击者就可以一直控制被攻击者的浏览器只要浏览器的Session仍然存在。
此后不久,帕罗奥图市(美国加利佛尼亚州)网络的研究员揭开了一个新的恶意软件链接——该恶意软件以合法的Android应用形式安装,然后在后台回连到移动广告网络从用户机器上获取金钱。该应用会等待用户安装其他应用,然后弹出对话框要求进一步安装其他代码的权限,实际上该行为被证明是恶意的,同时该应用也会获取设备SMS应用的控制权并开始发送消费的短信到攻击者架设的服务上。
原文地址:http://threatpost.com/malware-campaign-leverages-ad-networks-sends-victims-to-blackhole/102213]
