恶意不仅用于通过驱动器下载感染用户或欺骗假软件更新。目前正在通过TrafficHolder成人广告平台开展的一项活动利用淫秽视频的承诺来引诱人们进入广告欺诈。

这个技巧简单而有效。浏览时,用户会被自动重定向到看似YouTube的成人内容。这个页面看起来完全正常,除了它是一个巨大的图片,贴在一个真正的“正常”WordPress网站上。

用肉眼看,大的JPEG或GIF看起来是合法的,好奇的访客可能会忍不住按下播放键,观看这段俏皮的电影。这次点击不是播放任何内容,而是通过谷歌的DoubleClick发布真正的付费广告。这种被称为“点击劫持”(clickjacking)的技术非常流行,而且很容易被接受不同的形式而最终目标仍然是在广告上产生看起来合法的点击。

Flow__

骗子正在使用数百个似乎是虚假(保险,贷款和其他骗局)WordPress网站来执行这种欺诈行为。在页面顶部添加一个简单的图层以提供这种光学错觉。JavaScript代码能够跟踪鼠标移动并知道用户是否实际单击广告。

Rogue_code.

假的成人图像(覆盖整个页面)是动态生成的,并从远程服务器随机检索一个新的图像(5.39.99.215):

图片

有趣的是,图片会在几秒钟后消失,显示实际的WordPress网站。我们发现的大多数网站都是高度可疑的,很可能是用来承载各种其他垃圾内容的。

当用户点击播放虚假视频时,他们的行为通过滥用谷歌的DoubleClick触发了这个骗局的广告欺诈组件,如下面的流量捕获所示:

交通

在这种特殊的恶意实例中,用户不会因恶意代码而遇到风险,它们只是被欺骗,以便在此后面的骗子可以为每次点击生成广告。但是,我们还观察到通过相同的广告平台(Trafficholder)来挖掘套件的重定向,因此您应该额外的警惕,并使用诸如此类的主动防线利用保护避免被感染。

我们已经向谷歌报告了这一广告欺诈行为,并将继续监控情况,因为我们可以预期,这些流氓演员会想出不同的计划,以低质量的流量盈利。