不久前,我们写了一篇名为“技巧机器人“我们通过高贩运的成年网站陷入了恶意的攻击。与此同时,我们发现至少在8月中旬开始的另一个恶意活动,并利用诱饵成年门户扩展恶意软件。在内部,我们将基于传送URL中的字符串调用HotelAds广告系列。
在这个特定的攻击链中,有趣的是成人网站被注入了经常变化的新流氓广告域。然而,这些成人网站的上游流量也显示出一种通过通常的嫌疑人进行恶意广告的模式。在本文中,我们将着眼于HookAds背后的分销渠道和流氓基础设施。
与以前的广告系列联系
有一个配送路径与我们之前捕获的那个广告系列连接。事实上,许多送到淘汰赛的交通都来自于在一个月内获得数百万访问的顶级成人网站。第一个XXX站点的访问者将通过简单的恶性链重定向到诱饵辅助站点。
恶意软件(URSNIF):3D26585FAC57027DF4A68FA282EBFCC818AABB59AE6627325C2C4201CD2D6B80.
转换成人交通
我们估计,至少有100万成人网站的访问者受到了这一特殊活动的影响。成人流量是漏斗的几个诱饵成人网站之一,其中iframe成人横幅是动态注入。广告由第三方服务器提供,该服务器执行伪装,以检测这是否是合法的新流量。
非目标是通过合法广告网络重定向到其他成人网站的横幅广告。但是,同样的服务器也可以提供恶意脚本,而是其目标是将受害者重定向到钻机开发套件(8月份,中微子EK被推动)。整体流程可在下图中概括:
假广告服务器基础架构
虚假广告服务器基础设施在过去几个月增长,我们的蜜罐捕获了3个连续的IP地址,托管了超过100个流氓广告域。所有这些域名都是为了看起来像广告平台而注册的。虽然一些域名被使用了很长时间,但大多数每天都会切换,让一个新的域名进入。
赞助书记官员:Evoplus Ltd.
名称服务器:ns [0-9] .topdns.me
185.51.244.206
185.51.244.207
185.51.244.208
Exploit套件和有效载荷概述
这项活动产生了相当数量的流量,供送到Rig-V Exploit套件,钻机EK的最新(VIP)版本。rig-V的早期变化之一是来自经典版本的不同的着陆页,使用Unicode字符。另一个改变最近有新的,更不可预测的URL模式。
以下是Rig-V着陆页的解码部分(非常感谢David Ledbetter.)显示新的URL结构(谢谢@malforsec问我关于它)。
RIG-v使用的Flash漏洞由Swflock.,flash文件的在线ombfuscator /加密器(其他eks使用幅度doswf.)这具有以下非常有用的功能:
- 使用我们经过验证的技术的代码混淆和加密
- 防止您的SWF脱机或其他网站上运行
- 允许您的SWF运行一个给定的试用期
- 用密码保护你的SWF
在这个广告系列中有很多有效载荷(对于哈希部分列表,请参阅下面的IOC)。
结论
在撰写本篇文章时仍然在撰写此帖子时仍在运行,新的盗贼广告域每天注册。我们阻止了恶意IP范围来保护我们的客户,并且Malwarebytes防爆用户也屏蔽钻机开发套件。必威平台APP
IOC.
IPS.:
185.51.244.206 185.51.244.207 185.51.244.208
域名:
adzones.info bannerplant.info basicclicks.net besthookup.info betterad.info bonbonads.info bonuscp.info bonusmedia.info boostedads.infobrothermedia.info bucksdelivery.info bulbcpm.info canelonads.info chooseyourads.info clickandjoy.info clickerbonus.info clickspoint.info cometamedia.info comspacecom.info coolads.info coolbanner.info cooperloop.info cozyads.info crazycpm.info crazymedia.info deluxeads.info doodleads.info endcpm.info entropymedia.info exxtraprofit.infofamousad .info fancyts .info ferroad.info ferromedia.info findsilver.info flashspots.info fortyn .info foxycpm.info freehookper.info freshcpm.info freshmedia.info frogbigfrog.info front-page.info frontrows.info frtyd.info frtyyegt .info frtyyeht .info frtyff.info frtyys .info frtyysvn.info frtyysx .info frtyten.infofruitsmedia.info fullpagecpm.info funnycpms.info geniusmedia.info globuscpm.info gogobanner.info goldcpm.info goldenmedias.info hookupfind.info hookupmatch.info hookupsearch.info hopstops.info jockermedia.info kilomedia.info luxuryads.info madiabonus.info mamasmedia.info mediadelux.info mediaoffer.info mediaqboost.info mediasforest.infomediashouse.info mediaspot.info mediasupply.info mediaszone.info mediaszones.info mediawonder.info mightycpm.info mindflash.info monkeybusy.info monstercpm.info multiads.info okandok.info pandasmedia.info papasads.info parishads.info penads.info pointofprofit.info popularmedias.info porkymedia.info postermedia.info profitbanner.info promolinks.infopromorobot.info prormohookup.info pushtheads.info randomads.info rangoomedia.info rearmedia.info revolverads.info richcpm.info safemedia.info scrollpgp.com sensecpm.info shockdelivery.info silentmedia.info silvermedias.info smarterads.info sputnikads.info standupmedia.info startmedia.info staycold.info supperpromo.info swagads.net sweeptip.info swipeflirts.info swipesflirt.info takemeup.info thousandads.info trafficprofit.info trustedmedias.info ugetmore.info uniquemedias.info vertigoads.info whitecpm.info wideads.info wildwildmedia.info yoursbanner.info zorroads.info
恶意软件散列:
329c033b15df3cb41dc9aed57272a0dd125f9c85f027ce2954b620261cf3d074 c15710703cbcbaa17324a69cb274b262795a5bd8700a89b3fa8abcf72e613f50 e1c7071c4449b043d2d57f6501f463481f79b49e2cc4f75b4df5acf862b03f4d 83a9f0f488e5f1046c5914b65877fb37e8ae7fa185f334cdc683cbd7e4614869 bd58161f66335f72614982d9f81c999cde3b2da8660e16cec15c298b2a995371 a96b468620ffa3f3a93198d99710c83a575206412e6a958c0c09007fcea05832 746d859772d0a7de26e47e2dfc2bf722eea90f65e0497a0e4d87e06f4ab183b8 c13ece2c81769af954fae66ee89ec0d2491bbb839d22f27bb9b048ea9e460d4a f473c2b4caf126a1b82284e2914838d18005c88a739355b42da16e5dc4caa3f4 124e4608528c013f4e14655d90beee3ded8c8b3aa54356a24d5c483c6818502a 03070471659084b60a05efcd5d252c3d7ed53089522dfbf816868a6eb0c947e4 85dd8381e73474b63aa5d70656cae94b6be5e863b6ff6287d981488538e6b99c 7b6bea5fec6da2782db6ac4d71414a3425d4605bcd8332d2e1f518d6388cae45 e2a2395da1b0ccac51a0ad858a8de95bc7664f753d4b9a86c8f866f8353136e6 4979bbceccbb991c909307d452666168ce660374079e299a13abae02c08960c1 429f1ec2ef25338c33bac28421e6ecb5e436211a7c56396bee3d4398ef4344ee e8abc7a39547bc1d6949bb8e2543bd6caddec8e873c441815a1d6c3ad2d63191 5b62f31b10cd19548ce294929827bf39d5c9c91ce5cc18391308b983363bf80f 94442f616763e37dc0ef7dd8358b80dfc07a4ae2b355c3fd39aa09957b300c78 61304505a4e2fbfc77dd4b6ce3cc01ebb1a6ab2d444b65e415bd9ac22dbeb899
评论