在过去的几天里,我们观察到来自成人网站的恶意广告活动有所增加,这些网站的流量很大(每个网站的月访问量都有几百万次)。恶意行为者正在使用弹出式广告(在当前活动页面下的新浏览器窗口中加载的广告)偷偷地将用户重定向到RIG漏洞工具包。
This particular campaign abuses the ExoClick ad network (ExoClick was informed and took action to stop the fraudulent advertiser based on our reports) and, according to our telemetry, primarily targets Canada and the U.K.. The ultimate payloads we collected during this time period were all the Ramnit information stealer (banking, FTP credentials, etc.) which despite a可拆卸的2015年已反弹,并已相当活跃。
弹出式广告和TDS
弹出式广告通常是当用户点击他们正在浏览的网站上的一个项目时触发的。在这个特定的例子中,点击一个类别缩略图会启动主页后面的弹出窗口。
图1:弹出下广告点燃RIG EK(被Malwarebytes阻止)必威平台APP
第一阶段重定向包括到的链接tds.tuberl.com在两个不同的JavaScript片段内。这种交通分配系统(TDS)主要负载良性成人门户/通过Exoclick提供。此时,实际的恶意事件将进行302个重定向到恶意TDS,这在加载钻机开发套件之前执行一些地理定位指纹识别并检查上部推荐。
交通概况:
重定向链:
我们注意到使用上面提到的恶意TDS加载钻机EK的恶意TDS相同的攻击模式:
图4:显示从justporno.tv到RIG EK重定向链的Web流量
Ramnit要去加拿大和英国
我们通过蜜罐收集的有效载荷都是Ramnit Trojan,考虑到来自TDS的流量(在我们的遥测中,加拿大和英国的点击率最高),这很有趣。一个报告来自IBM安全研究员Immor Kessem于2015年12月表明加拿大是顶级目标,占所有Ramnit活动的55%。跟进报告2016年8月同一名研究人员的报告显示,这一次针对英国的新一波袭击
我们通知Exoclick,他们已经能够找到并终止流氓广告商。必威平台APPMalwarebytes用户已被保护免受此分发广告系列和Ramnit特洛伊木马。
国际石油公司
恶意软件哈希:
53 ba545c599a66a148e590b11e9cdc0d49141b03d9f870fcd52593f39bcd690d 845824 afa87c0eccf25b09cbf57fbe2ab9e356b6cdbac220271e9c4e732bb174 3 feb4c5198cd00361dc5631334288f9ba6a25b3d35028b0cd10f453525ff1c9e c72e3c5120e948599a2f6f215a7ef53f71763ce16303782872bab9cf5599610a be3705cf0964cebe7084439f502ae4d40fc063693be44fbe54fe7a9f8ae180df228年af3aa07a2c37badf83cdd552710434601d8f3abf60df8d8264cdf3f694d70
钻机EK领域:
set.designervintagejewelry.com cxz.suttonsite.com rew.lafontant.services new.serviceslafontant.ca act.opencomputinginstitute.com free.learntoridemotorcycle.com rew.dietingplan.org gfd.dealsboy.in admin.sellsettlement.org act.loseyourweightnaturally.com acc.buycellulitetreatments.com art.joecornellweddings.com see.chairblue.comlist.werledlighting.com never.alexagift.com see.aliharperweddings.com see.clicklinkto.info free.nutrangnu.com all.woodfurnituregarden.com top.villabluesteps.com act.obamapower.com new.4u-insurance.com art.carondeletevents.com add.cmlib.org far.clickbankidol.com rew.terrigenesis.com line.bermudaweddings.net rec.goldenknightsfan.com try.sjtri.comadd.lvgoldenknightsfan.com free.cmlib.info act.twoocomms.com
钻机EK IPS:
188.225.38.209 188.225.38.186 188.225.38.164 188.225.38.131 5.200.52.240
评论