我们一直在追踪一起袭击eu地点数天,但错过了最后的有效载荷。然而,当我们设法通过一个来自流行视频流网站的广告电话来重现一个实时感染时,情况发生了变化DailyMotion网站,排名在Alexa排名前100的网站中。
这起恶意中伤事件是通过实时竞价(RTB)发生的WWWPromoter市场。一个来自流氓广告商的诱饵广告(如下图所示)发起一系列重定向到.eu网站,并最终加载Angler攻击工具。
这个假广告客户使用SSL加密、IP黑名单和JavaScript混淆技术的组合,并且只对每个(真正的)受害者显示一次恶意负载。此外,Angler EK还在启动其利用之前,对潜在的受害者进行指纹识别,以确保用户不是一个安全研究人员,蜂蜜罐或网络爬虫。
我们立即联系了Atomx, AD电话中使用的在线媒体交流平台,是谁告诉我们问题的来源WWPromoter更具体地说,是他们网络上的恶意买家(流氓广告商)。
一旦进行了适当的接触,问题就得到了解决。为此,我们希望所有有关各方采取这种迅速行动,从而限制对无辜用户的潜在损害。
这个特别的广告攻击是我们一直在跟踪的少数几个活动之一,它比我们每天遇到的平均事件要复杂得多。我们可以说,最近的威胁演员真的提高了他们的游戏,非常隐蔽,使一个特定的广告呼叫看起来温和,当复制在实验室环境中。
事实上,当我们怀疑是谋杀,但无法用活体感染来证明时,问题就来了。当一个特定的广告商表面上没有任何问题时,说服广告网络采取行动是很困难的。
这也提醒我们,即使是知名品牌的流行网站也可能被用作传播恶意软件的载体。
必威平台APP伪Anti-Exploit用户受到了这种攻击(Flash CVE-2015-7645)的保护,这种攻击可能会导致Bedep和广告欺诈,但也可能是其他载荷。
技术细节
感染流
- 出版商:dailymotion.com/视频/ xv1pn7_the - x因素——英国——s09e22 -生活-显示- 10 - 11 - 2012 - 1 _shortfilms一部分
- 广告电话:p.ato.mx/位置吗?v = 8 id = 9146大小= 728×90 +类型= iframe&b = 0域x900x24 =屏幕= 1600
时区= 300饼干= 1 flash = 1描述:3 = http % % 2 f % 2 fwww。dailymotion.com
% 2 fvideo % 2 fxv1pn7_the - x -因素-英国- s09e22 -生活-显示- 10 - 11 - 2012 - 1 _shortfilms一部分 - 正如大家所知道的那样:creative.wwwpromoter.com/ pop-imp / 1491/11672
- 虚假广告商(加载广告图片和JS):{消毒}eu/ advertising.html
- 虚假广告商(陷阱JS):{消毒}eu/脚本/ media.js吗?
- 假的广告:{消毒}eu/ advertising.html吗?tm = 1449123577264
- 重定向(SSL)到Angler EK:worldbesttraffic.eu /
- 垂钓者埃克:ftuifio.vpkoqbs.eu/文明/ viewforum.php ? f = 3 s5&sid = vk830.1892qo288&
提琴手视图
如果您想了解更多关于这次攻击的信息,请通过通常的方式与我们联系。
评论