互聯網在線廣告已經被證明是一種非常有效的工具——在短時間內傳播惡意軟件到大量站點這一方面。計劃攻擊廣告服務提供者的攻擊者們很容易就可以和數百萬看到廣告的用戶群體建立聯系。

[[85353]]

近日，Blue Coat 的研究者們發現了一次大規模的惡意軟件活動，這次惡意軟件活動的一部分就包括將用戶重定向到指定站點的惡意廣告，而被重定向的目標站點則是掛載了Blackhole Exploit 工具集的惡意站點。

據研究員Chris Larsen所說，“截止到8月23日，像洛杉磯時報(Los Angeles Times)、Salon、財政時報(The Fiscal Times)、婦女健康雜志(Women’s Health magazine)、美國新聞(US News)以及其他很多站點仍掛載著“為惡意軟件服務”的廣告，直到這次惡意軟件活動愈演愈烈。” 除了這些新聞站點，很多受歡迎的線上調查和問卷站點也在此次惡意軟件活動中扮演了重要的角色(網站掛載惡意廣告)。

在此次攻擊中其中一個被發現的域名是adhidclick[.]com，該域名自被注冊后一直未被使用，直到8月22日它開始將流量重定向到Blackhole的站點群(searcherstypediscksruns[.]com/[.]net/[.]org)中。

“所有它將流量導向的站點都是惡意的”，Larsen在本周的博客中寫到。“所有這些都是在去年被(匿名)注冊的，沉睡了至少八個月(接近一年，在某種意義上可以這么說!)，在八月份被啟動使用了一些天，轉發它的流量份額，然后繼續休眠。這是一次令人印象深刻的巨大的(極具耐心的!)惡意廣告行為。”

對于中間介質層的站點來說這次的主要流量另有源頭，其主要來自大量被廣告放在洛杉磯時報(LA Times)，婦女健康雜志(Womens Health)等站點上的媒體和潛在顧客挖掘(lead-generation)站點。一些被Blue Coat認證過的廣告提供商包括DoubleClick，Adnxs 等。

就單一站點來說，dielead[.]com 在一周內收到了接近6k次的點擊，而另外的gerlead[.]com 則在兩周內得到了12k次的點擊量。大約有25家媒體和潛在用戶挖掘站點在此次活動中受益，所有這些受益的站點都有一個共性—— 在此次活動開始前數月被注冊。

“對于這些站點來說很長的冬眠時間非常有趣”，Larsen寫到。“第二點非常有趣的是這次攻擊是如何被彼此分割開的—— 壞人使得這些假的廣告域名跳轉到受信的具有不同目標定位的市場，以至于即使一個被發現，整體的攻擊仍然能夠得以進行。”

被點擊量和廣告效果的利益所驅使的攻擊者可以由這些模式兌換到金錢，這種情況可能或變得更糟。調查顯示在一個月以前的美國黑帽大會上就有人展示攻擊者是如何操縱廣告網絡分發惡意的javascript。白帽子安全研究員的Jeremiah Grossman 和Matt Johansen 則展示了攻擊者如何花費很少的金錢就在一個受歡迎的網絡上購買一則廣告，然后創建他們的瀏覽器僵尸網絡去分發他們的代碼，而這一切都只是基于廣告網絡。一些廣告網絡很難檢測出javascript的安全問題;兩個研究者指出他們可以在某些情況下通過關鍵詞和地點定位他們的廣告。一旦代碼被分發到互聯網上，攻擊者就可以一直控制被攻擊者的瀏覽器只要瀏覽器的Session仍然存在。

此后不久，帕羅奧圖市(美國加利佛尼亞州)網絡的研究員揭開了一個新的惡意軟件鏈接——該惡意軟件以合法的Android應用形式安裝，然后在后臺回連到移動廣告網絡從用戶機器上獲取金錢。該應用會等待用戶安裝其他應用，然后彈出對話框要求進一步安裝其他代碼的權限，實際上該行為被證明是惡意的，同時該應用也會獲取設備SMS應用的控制權并開始發送消費的短信到攻擊者架設的服務上。

原文地址：http://threatpost.com/malware-campaign-leverages-ad-networks-sends-victims-to-blackhole/102213]