一个众所周知以利用指纹识别绕过安全检查的技术和其他逃避手段,已经在许多不同的广告平台上增加了其活动,通过顶级网站推送恶意软件。

这些恶意广告攻击的设置依赖于多种技术的组合,首先是欺诈性广告客户选择受害者,通常是零售或合法业务中的合法网站。其目的是在接近广告网络时使用他人的身份来显得合法。

广告横幅被误解专业地设计,然后在阴影域上托管广告码。所述域名的所有者完全没有意识到已经在其托管平台上创建了子域,更不用说它提供恶意广告。

这里是有趣的部分。对于试图手动验证它们的人来说,这些广告通常没有任何恶意软件。无论您刷新页面多少次或旋转IP地址多少次,JavaScript代码看起来都是无害的。这是因为JavaScript的流氓版本是有条件地提供的,包括适当的引用、用户代理(有时甚至是您的屏幕分辨率)和其他几个参数。

一旦确定了一个真正的用户(发生了浏览特定发布者的受害者,浏览该广告的特定发布者),我们呼叫指纹识别的另一系列检查 - 以确保只有那些可能被感染的人确实被重定向到钓鱼者开发套件。

最近,校对点的研究人员确认钓鱼者重定向机制的小但值得注意的变化。而不是使用Google DoubleClick HTTPS打开重定向器,威胁演员切换到程序化营销平台火箭燃料(rfihub.com.).也许这是由于DoubleClick重定向器受到越来越多的审查而决定的,但不管怎样,这符合他们以加密方式启动exploit kit URL的目标,使安全公司更难识别攻击。

以下是我们在我们的遥测中确定的一些受欢迎的网站,无意中通过几个广告平台(火箭燃料,Plymedia,Zedo,Appnexus,Sharethough,Rubicon,Doubleclick)之一无意中为恶意广告横幅提供服务,最终导致钓鱼者利用套件。

  • dailymotion.com
  • kijiji.ca
  • vodlocker.com.
  • answers.com
  • cda.pl
  • cbssports.com
  • m.mlb.com
  • Legacy.com
  • thechive.com.
  • cbs.com

*根据SimilarWeb.com的月流量排名。请注意,每个网站都有不同数量的恶意广告横幅的印象。

垂钓者EK通过自己的网站将暴露在恶意广告下的访问者变成勒索软件的受害者CryptXXX产品。在这种情况下,一个恶化的因素是,垂钓者使用了一个最近修补过的Flash Player漏洞(cve - 2016 - 4117).整个序列根本不需要任何用户交互。一旦广告显示出来,就会自动进行利用重定向和感染。

流动
图1:广告横幅的“脏”版本显示其真实的意图

流氓广告服务器(阴影域):

  • pix.canadianhedgewatch.com
  • Front.business-mastery.ca.
  • net.glawgp.com.
  • pixels.respondez.co.uk
  • ADS.SICURAUTO.com.
  • probe.registermyserviceanimal.com
  • dy.wwcpga.com.

必威平台APP防爆检测恶意横幅并阻止最新的Flash Exploit(CVE-2016-4117):

MBAE_block

我们很高兴地说,我们从涉及的几乎所有广告网络中获得了快速致谢,并且他们已经采取了措施禁止欺诈性的广告商及其当行者。