去年是顶级广告的忙碌之年谷歌的DoubleClick等广告网络遭到大规模攻击, 和受欢迎的地方不愿意感染他们的访客因为恶意广告。
2015年也是一个艰难的开始。
来自塞浦路斯的Nick Bilogorskiy报道本周早些时候,一场运动在一些产生大量互联网流量的网站上造成了严重破坏。
这些攻击是科瓦特团伙的工作,他们一直忙于打击其他主要玩家(即。(YouTube)。我们也跟踪了这个特别的活动,并观察到几个高水平的域名成为了恶意广告的受害者,每月的总流量为15亿访问者。
使用过时插件或浏览器上网的人会通过“驱动下载”攻击而感染病毒,这种攻击会把他们的电脑变成参与广告欺诈的机器人。
受影响的网站
域名 | alexa等级* | 月度交通* * |
news.yahoo.com. | 65. | 527. |
huffingtonpost.com | 88. | 248 |
AOLCOM. | 156 | 218 |
weather.com | 159 | 138 |
sports.yahoo.com. | 187. | 188. |
tmz.com | 454 | 43 |
nydailynews.com. | 609. | 46 |
tagged.com | 611. | 58 |
chron.com | 736. | 31 |
match.com. | 826 | 35 |
Legacy.com | 1537. | 22 |
startribune.com | 3648 | 5 |
123 greetings.com | 3854 | 12 |
gaiaonline.com | 4462 | 2 |
beforeitsnews.com | 4553 | 7 |
intellicast.com | 4681. | 13 |
妈妈 | 6515. | 4 |
Centurylink.net. | 6580 | 8 |
rent.com | 12582 | 2 |
娱乐.Verizon.com. | 12667 | 3. |
windstream.net | 12802 | 3. |
twinciess.com. | 17457 | 2 |
webmail.comcast.net | N / A. | N / A. |
webmaila.juno.com | N / A. | 3. |
*基于Alexa.com数据的Alexa排名。子域名的排名与SimilarWeb.com进行对比
**根据MatermateWeb.com的数据估计数百万的月度流量
广告网络
- advertising.com.
- Adtech.de.
- googlesyndication.com
中间的网站
foxbusness.com.
“域”= >“foxbusness.com”、“决心”= >“176.9.251.252”,“端口”= >“443”,“uri”= >“/ ?service &id=1347&log=235", "md5"=>"", "header"=>" ---- Referer: http://tpc.googlesyndication.com/safeframe/1-0-1/html/container.html\r\nAccept-Language: en-us\r\nUser-Agent: Mozilla/5.0(兼容;MSIE 9.0;Windows NT 6.0;三叉戟/ 5.0)\ r \ nAccept-Encoding: gzip压缩
反向链接
直接推荐人的例子(IP地址:162.247.13.70 - 加拿大)
uhupa.econsumerproductexposed.swidnica.pl / 1141843503 / c5893070b1e9a472d191ceb6b65e2d472bfc0e4c choim.vjutakujoho.mazowsze.pl / 1144037683/46cab3acbf9a045526dca7c288a3b051064fd23b keywo.mbaang.olsztyn.pl / 1809008432/8eb85bf31fa1e087bd8165bbe8876e32a137fd07 etern.xbkblogueurpro.nysa.pl / 849637756/8d75a79e1ee7a789ba8c26ef163fab9a2b81d81domais.uacademics.miasta.pl / 1111073264/0b457ead38ceaed7d086cea48e2b21a7d264f863
工具包(甜橙)
Exploit套件登陆页面的例子(IP地址:195.138.246.17 - 德国)
forex.dsantanderbillpayment.pruszkow.pl /下载/ page.php吗?产品与供应商= 228376 = 105122能够微笑= 18 = 105122 &linktous = 3314 vivaw.hloupfute.sanok.pl /联系/计数器/ page.php吗?时间= 254228 &cityprice = 254228 aboutus = 254228微笑= 18及社区= 158990 georg.tgrupoeroski.ostrowwlkp.pl / server_admin_small /模板/ dcontent / page.php吗?flash = 296895和= 312161及= 312161以及下载= 312161微笑= 18竞赛= 234771 jazzp.yv102.limanowa.pl /笔记本/ gp / page.php吗?事件= 156334浏览= 278551文件= 156334微笑= 18竞赛= 9009 blaze.vnoeuf.podlasie.pl / cadmins / page.php吗?类= 163726病毒= 195712及客户= 163726 &top_left = 95496微笑= 18代理= 198597
漏洞的漏洞是cve - 2014 - 6332ie浏览器成为了目标。
必威平台APPMalwarebytes Anti-Exploit阻止此攻击:
有效载荷
有效载荷,科特,被放到了临时文件夹里
“C:\用户\ {username} \ appdata \ local \ temp \ repfix.exe”
有效负载是VM感知的,并寻找调试和其他安全工具。知道样本是否正确运行的一种方法是,它在执行后是否删除自己。
真实PC上的虚拟机或安全工具:
- 样本不会删除自己
- post请求(域名可能会更改)以此格式:(a16-kite.pw/form2.php.):
真机,没有安全工具:
- 样本删除自己
- POST请求(域名可能会改变):a16.car.biz / 11 / form.php
我们在外部笔记本电脑上使用Wireshark在实际环境中分析了这一点,使这对恶意软件完全透明。这让我们看看它确实是什么:广告欺诈(而不是其他网站之前报告的勒索软件)
不久之后,广告欺诈请求的洪水开始:
广告欺诈,或者说是点击欺诈,在价值数十亿美元的广告产业中占了很大一部分。广告欺诈恶意软件本质上模拟用户访问带有广告的页面,就好像它们是合法的视图。
所有这些请求都是在后台发出的,在受害者不知情的情况下玩弄系统。
必威平台APPMalwarebytes反恶意软件已检测到并阻止此威胁:
2015年,恶意广告仍是最大威胁之一
正如我们在我们的年末报告在美国,恶意广告是一个影响广泛人群的大问题。当然还有终端用户,广告商和出版商,他们必须为捍卫自己的合法性而战。
网络罪犯可能会继续使用恶意代码劫持广告网络,并从数十万成功的感染口袋股息。
这一特定的运动很可能会转移到其他控制器或演变成其他东西,因为它现在是在公共领域,受影响的各方正在清理和保护他们的系统。
必威平台APP必威官方登录备用恶意软件实验室会继续监控情况并向你们通报最新进展。
特别感谢jp taggart.用于提供外部记录系统。
评论