很多媒体网站会在页面加入广告拓展收入,但我们大概没想过那些广告会成为不法分子散播勒索软件的途径。日前有网络安公司指攻击者透过广告联盟及软件漏洞,透过大型网站如《纽约时报》、BBC 、MSN 等的广告,借此安装勒索软件。
网络安全公司 Malwarebytes 指骇客利用 Flash 、Silverlight 等漏洞,然后透过广告联盟发放恶意广告。部分受影响的广告联盟由 Google 和 AOL 等拥有。恶意广告带有一个 JSON 档案,里面包含逾 12,000 行程式码,目的是避免防毒软件侦察。广告展示后,访客就会被转址至带有 Angler 攻击套件的网站,并会在电脑植入 Bedep 木马和 TeslaCrypte 勒索软件。受影响的网站包括《纽约时报》、BBC 、MSN、AOL 等,Trend Micro 指在 24 小时内已有数以万计的人接触这些恶意广告,主要以美国为目标。
但为什么攻击者可以在广告联盟中植入恶意广告?SpiderLabs 指攻击者“废物利用”,把某个已停止服务的小型广告联盟的域名“brentsmedia.com”重新注册,并用来存放恶意 JSON 档案。由于该网站在关站前应是清白之身,因此攻击者重新注册域名后便可直接或透过其他广告联盟把自己的恶意广告刊登。此外攻击者也把另外两个已到期、而且有“media”的域名注册,该三个域名均指各同一个 IP 。
这波攻击涉及 Flash 和 Silverlight 等漏洞,再次证明这些外挂软件的缺点。此外这亦揭示了网上广告除了有观感问题,更有安全问题,或会刺激更多人采用广告封锁外挂。
- Big-name sites hit by rash of malicious ads spreading crypto ransomware
- Major sites including New York Times and BBC hit by ‘ransomware’ malvertising
(本文由 Unwire Pro 授权转载)
