在过去的几周内,恶意攻击已经增加,例如通过一系列妥协开源复活广告服务器这是还在继续。有趣的是要注意的是,一些受损的网站的价值比其他网站更多,而当这些网站恰好用于服务广告横幅时,这尤其如此。恶意代码的最终范围与网站将收到多少流量,广告服务器是理想的候选者,因为它们被依赖广告的数百或数千个其他网站使用。
今天,我们看一下有点类似的情况(尽管它没有似乎使用恢复框架),涉及一个被黑客的第三方广告服务Web服务器。我们发现了几个不同的成人网站,将其利用它作为“广告渲染器”来显示侧横幅。
有条件地注入的脚本重定向到公园竞选活动,这反过来推动了Neutrino Exproit套件。我们习惯于看到这个门直接从'典型'(incromised)的网站运行,但从广告服务中没有那么多。这可能是一个“偶然”的恶意性案例(即将攻击的遗址也恰好用于服务于广告),或者时间会告诉,攻击者专注于如此基础设施,因为他们知道它会产生更大的回报。
在这个特殊的例子中,用户将访问成人网站并在侧面看到广告横幅。不需要点击即可启动将遵循的感染链,并最终删除勒索软件,因为当出现图片时立即加载恶意代码。正如恶意的情况下,广告横幅的恶意版本只能每次IP地址服务,以便对分析师更困难的事件链的重放。
Adfraidgate名称来自Freedns服务欠伤这是这种情况:
域名:Laurachirita.ro注册:2015-03-02注册商:ICI - ROTLD名称服务器:NS1.AFRAID.ORG.
来自这个中微子运动的有效载荷是锁定(Zepto Flavor),要求1.5 BTC(约939.53美元):
Malwa必威平台APPrebytes都是防爆和反赎金软件(beta)可以在他们各自的阶段阻止这次攻击。
妥协指标
- 公园:la.laurachirita.ro/scripts/lang-sql.js.
- 锁定:06B84F54A3A26931AE875D100918AAB5E2631C33D02328711407122777BF7331B.
- 锁定C2:185.75.46.29/tt.php.
评论