[[179038]]

一次惡意廣告的活動將數百萬用戶置于被攻擊的風險之下，利用此種新方法傳播的Stegano攻擊工具包，已經盯上那些未打補丁的系統。

研究人員發(fā)現一種早已被發(fā)現的攻擊工具包正通過一種全新的方法進行傳播——它使用圖形圖像作為武器，能夠將數以百萬計的用戶置于攻擊風險之下。

ESET研究人員表示最初是在“某一將目標轉移到世界不同地區(qū)的惡意廣告活動中”發(fā)現的Stegano攻擊工具包。首先是荷蘭，隨后是捷克，如今在加拿大、英國、澳大利亞、西班牙和意大利也均有發(fā)現。ESET表示，該工具包已對“包括每天有數以百萬計的人訪問的新聞網站等主要域進行了觀測，充當“推薦人”的角色支持這些廣告”。根據ESET的消息所稱，惡意廣告用肉眼很難分辨。

ESET研究人員在一篇博客文章中寫道：“在不需要任何用戶交互的情況下，最初的腳本將受害者的機器信息報告給攻擊者的遠程服務器。按照服務器端的邏輯，目標機器會被發(fā)送一張正常的圖片，或是幾乎可以不知不覺篡改信息的惡意圖片。”惡意版本的圖片在其阿爾法通道中存在腳本編碼，它定義了每一像素的透明度。由于這一改動很輕微，因此最終圖片的顏色色調與正常圖片只有輕微的差別。”

通過惡意廣告方式傳播的這一名為Astrum的攻擊工具包早在2014年已被發(fā)現。而ESET將其稱之為Stegano，是參考了速記式加密(steganography)一詞，一種在圖像中隱藏圖像或文件的做法。

而Stegano攻擊工具包以IE和Adobe Flash Player作為常規(guī)的潛在目標，專家認為這是該攻擊工具包不同尋常的特點。

馬薩諸塞州薩默維爾市Recorded Future公司的高級解決方案架構師Allan Liska認為：“惡意廣告活動的通訊類型與攻擊工具包所使用的通訊類型一樣陌生”。

“這看起來不像是針對特定用戶的。相反，他們一直在面向不同的國家運行活動。所以，這些攻擊既不是有針對性的或者水坑攻擊(watering hole attacks)，也不是大規(guī)模攻擊。攻擊者很精于挑選受害者，”Allan Liska說道。”盡管受害者們的基礎設施和傳輸系統很復雜，還是沒有發(fā)現他們的蹤跡，根據公開的報告顯示他們正在使用任何可用的零日漏洞。事實正相反，他們盯上的是那些系統還沒打補丁的用戶。”

Tripwire公司的IT安全和風險策略高級總監(jiān)Tim Erlin認為，惡意廣告更應該被廣告網絡而非最終用戶檢測出來，不過最終用戶可通過保持軟件更新的辦法來保護自己。

“作為一名最終用戶，最好的保護措施是保持您的系統和應用程序處于最新且完整補丁的狀態(tài)。惡意廣告使用已知的漏洞來感染您的系統，因此即使您在網絡上遇到了惡意廣告，打補丁和更新還是能幫助保護您的安全，”Erlin說道。“所有的惡意軟件需要借助某種方法來進入您的系統，最常見的方法則是通過已知的漏洞和網絡釣魚。”

來自舊金山的網絡安全公司RiskIQ的網絡威脅研究員Darren Spruell認為，任何能夠封鎖源自不可信站點的腳本執(zhí)行控制功能都會是有效的。

Spruell表示，“惡意廣告起于廣告生態(tài)系統的惡意廣告替換，并通過一系列的重定向，止于攻擊者的攻擊工具包。在沿途各點受害者的瀏覽器內執(zhí)行JavaScript，打斷該過程能夠阻止通信重定向，廣告網絡可以采取各種措施來減輕惡意廣告對其客戶和網站訪問者的影響。重要的一步是驗證廣告主的身份，同時遵循在線廣告行業(yè)內建立起來的一系列常規(guī)最佳實踐。”