Proofpoint的研究人員發(fā)現(xiàn)一起大規(guī)模AdGholas Malvertising活動(dòng),通過(guò)幾款銀行木馬感染了100萬(wàn)臺(tái)電腦。
何為Malvertising?根據(jù)維基百科的解釋,Malvertising即“惡意廣告”——通過(guò)在線廣告?zhèn)鞑阂廛浖?/p>
Malvertising包括將惡意或摻雜惡意軟件的廣告注入合法在線廣告網(wǎng)絡(luò)和網(wǎng)頁(yè)中。在線廣告為惡意軟件的傳播提供了強(qiáng)有力的平臺(tái),為了吸引用戶,以及銷售或宣傳產(chǎn)品,人們?cè)谠诰€廣告中傾注了大量精力,例如可以將廣告內(nèi)容可以插入知名度較高的網(wǎng)站。Malvertising對(duì)攻擊者而言極具吸引力,因?yàn)榭梢酝ㄟ^(guò)大量合法網(wǎng)站輕松傳播惡意軟件,而無(wú)需直接攻擊這些網(wǎng)站。
AdGholas攻擊方式AdGholas自2015年開(kāi)始活躍,AdGholas惡意廣告活動(dòng)背后的威脅攻擊者善于使用隱寫術(shù)(Steganography),精準(zhǔn)地將目光瞄向大量惡意廣告和曝光次數(shù)(Impression),此外,他們還具備規(guī)避檢測(cè)能力。
Proofpoint在分析中指出,Proofpoint研究人員發(fā)現(xiàn)并分析了自2015年開(kāi)始運(yùn)作的Malvertising網(wǎng)絡(luò)。Proofpoint將其命名為AdGholas,每天感染的設(shè)備多達(dá)100萬(wàn)臺(tái)。
其作為首例使用“隱寫術(shù)”Proofpoint的研究人員稱,在路過(guò)式惡意軟件活動(dòng)中使用隱寫術(shù),這是首例。攻擊采用被認(rèn)為是低風(fēng)險(xiǎn)的“信息披露”漏洞,因此不會(huì)引起廠商和研究人員的注意。
攻擊者接收來(lái)自各種反向鏈接(源自20多個(gè)不同的AdAgency/AdExchange平臺(tái))的高品質(zhì)流量。AdGholas每天吸引的點(diǎn)擊量介于100萬(wàn)至500萬(wàn)之間,近10%-20%的點(diǎn)擊量被重定向至托管漏洞利用工具(EK)的域名。
網(wǎng)絡(luò)犯罪分子使用的域名看似就是合法網(wǎng)站,即巴黎Merovinjo 酒店、 Ec-centre 和Mamaniaca的克隆版。
因地制宜Proofpoint的專家發(fā)現(xiàn),黑客根據(jù)用戶和地理位置傳播不同的惡意軟件。
分析指出,Proofppoint與Trend Micro的研究人員經(jīng)過(guò)分析發(fā)現(xiàn),AdGholas的運(yùn)行方式不盡相同,但都具有同樣的多層過(guò)濾和混淆方法。例如,以多種方式發(fā)送重定向標(biāo)記,將xhr-sid作為POST響應(yīng)頭發(fā)送到GIF,但有時(shí)會(huì)隱藏在初始著陸頁(yè)“addStat哈希”的末尾。
Angler EK消失后,AdGholas威脅攻擊者沉默了兩周,之后于6月末使用相同的域名利用Neutrino EK發(fā)起攻擊活動(dòng)。
傳送銀行木馬惡意軟件研究人員發(fā)現(xiàn)攻擊者傳送銀行木馬,例如加拿大的Gozi ISFB、澳大利亞的Terdot.A(又名DELoader)、裝載有Godzilla的Terdot.A、以及西班牙的Gootkit。
同時(shí),專家觀察到4個(gè)不同的Neutrino線程,因?yàn)镹eutrino不包含內(nèi)部TDS,而B(niǎo)lackhole、Angler和Nuclear包含TDS。
最近,AdGholas威脅攻擊者或緊密的分銷合作伙伴運(yùn)行反向代理,并于4月底提供了EK實(shí)例。
AdGholas活動(dòng)表明,為了隱秘、有效行動(dòng),惡意廣告活動(dòng)變得日益復(fù)雜。
分析結(jié)論Proofpoint分析的主要發(fā)現(xiàn)如下:
規(guī)模大:AdGholas網(wǎng)絡(luò)每天吸引的高質(zhì)量點(diǎn)擊流量多達(dá)100萬(wàn)至500萬(wàn)。
隱秘性:在路過(guò)式惡意軟件活動(dòng)中,這是首次使用隱寫術(shù),攻擊采用被認(rèn)為是低風(fēng)險(xiǎn)的“信息披露”漏洞,從而規(guī)避被廠商和研究人員發(fā)現(xiàn)。
過(guò)濾精準(zhǔn):AdGholas采用智能、多步驟過(guò)濾技術(shù)針對(duì)更精準(zhǔn)的目標(biāo)客戶系統(tǒng),包括規(guī)避非OEM和非Nvidia/ATI支持的系統(tǒng)。
具有說(shuō)服力:重定向網(wǎng)站避免引起懷疑,并精準(zhǔn)模仿廣告機(jī)構(gòu)預(yù)期的合法網(wǎng)站提高有效性。