互联网在线告白已被证实是一种很是有效的东西——在短时候内传播歹意软件到大年夜量站点这一方面。打算报复打击告白办事供给者的报复打击者们很等闲便可以和数百万看到告白的用户群体成立联系。
近日,Blue Coat 的研究者们发现了一次大年夜范围的歹意软件勾当,此次歹意软件勾当的一部门就包含将用户重定向到指定站点的歹意告白,而被重定向的方针站点则是挂载了Blackhole Exploit 东西集的歹意站点。
据研究员Chris Larsen所说,“截止到8月23日,像洛杉矶时报(Los Angeles Times)、Salon、财务时报(The Fiscal Times)、妇女健康杂志(Women’s Health magazine)、美国新闻(US News)和其他良多站点仍挂载着“为歹意软件办事”的告白,直到此次歹意软件勾当愈演愈烈。” 除这些新闻站点,良多受欢迎的线上查询拜访和问卷站点也在此次歹意软件勾当中扮演了首要的角色(网站挂载歹意告白)。
在此次报复打击中此中一个被发现的域名是adhidclick[.]com,该域名自被注册后一向未被利用,直到8月22日它开端将流量重定向到Blackhole的站点群(searcherstypediscksruns[.]com/[.]net/[.]org)中。
“所有它将流量导向的站点都是歹意的”,Larsen在本周的博客中写到。“所有这些都是在往年被(匿名)注册的,沉睡了起码八个月(接近一年,在某种意义上可以这么说!),在八月份被启动利用了一些天,转发它的流量份额,然后继续休眠。这是一次令人印象深切的巨大年夜的(极具耐烦的!)歹意告白行动。”
对中间介质层的站点来讲此次的首要流量还有泉源,其首要来高傲年夜量被告白放在洛杉矶时报(LA Times),妇女健康杂志(Womens Health)等站点上的媒体和暗藏顾客发掘(lead-generation)站点。一些被Blue Coat认证过的告白供给商包含DoubleClick,Adnxs 等。
就单一站点来讲,dielead[.]com 在一周内收到了接近6k次的点击,而别的的gerlead[.]com 则在两周内获得了12k次的点击量。大年夜约有25家媒体和暗藏用户发掘站点在此次勾当中受益,所有这些受益的站点都有一个共性—— 在此次勾当开端前数月被注册。
“对这些站点来讲很长的冬眠时候很是有趣”,Larsen写到。“第二点很是有趣的是此次报复打击是若何被彼此豆割隔的—— 坏人使得这些假的告白域名跳转到受信的具有不合方针定位的市场,乃至于即便一个被发现,整体的报复打击仍然可以或许得以进行。”
被点击量和告白结果的好处所差遣的报复打击者可以由这些模式兑换到金钱,这类环境可能或变得更糟。查询拜访显示在一个月之前的美国黑帽大年夜会上就有人揭示报复打击者是若何把持告白收集分发歹意的javascript。白帽子安然研究员的Jeremiah Grossman 和Matt Johansen 则揭示了报复打击者若何破钞很少的金钱就在一个受欢迎的收集上采办一则告白,然后成立他们的浏览器僵尸收集往分发他们的代码,而这一切都只是基于告白收集。一些告白收集很难检测出javascript的安然标题问题;两个研究者指出他们可以在某些环境下经由过程关头词和地址定位他们的告白。一旦代码被分发到互联网上,报复打击者便可以一向节制被报复打击者的浏览器只要浏览器的Session仍然存在。
而后不久,帕罗奥图市(美国加利佛尼亚州)收集的研究员揭开了一个新的歹意软件链接——该歹意软件以合法的Android利用情势安装,然后在后台回连到移动告白收集从用户机械上获得金钱。该利用会等候用户安装其他利用,然后弹出对话框要求进一步安装其他代码的权限,实际上该行动被证实是歹意的,同时该利用也会获得设备SMS利用的节制权并开端发送消费的短信到报复打击者架设的办事上。