大規模惡意廣告活動每週進行多達 40000 次的感染

類別: IT

近日網路安全公司Check Point釋出的一份關於一場大規模的惡意廣告活動的報告。

研究人員認為,這個惡意廣告活動的運營商已經加入了廣告網路和廣告經銷商,以確保他們被劫持的流量到達首選的客戶,然後他們將受害者重定向到技術支援騙局或利用套件感染他們勒索軟體、銀行特洛伊木馬或其他人。Check Point將此複雜方案命名為Master134,位於廣告系列整個運營方案中的中心和關鍵伺服器的網址之後。

Master134網路竊取被黑客入侵的WordPress網站的流量

根據Check Point 報告,這一切都始於Master134不法分子接管WordPress網站。研究人員說,他們發現了超過10,000個被這個團伙攻陷的WordPress網站。Check Point聲稱所有這些被黑網攻擊的WordPress網站都執行WordPress CMS版本4.7.1,很容易受到遠端程式碼執行漏洞的攻擊,這使得騙子可以接管網站。

攻擊者在這些網站上插入程式碼以在這些網站上注入廣告,這些網站後來劫持了使用者並將其重定向到主Master134的“重定向”服務。此外,研究人員稱該組還使用PUP(惡意程式),例如瀏覽器主頁劫持程式,將使用者重定向到Master134的門戶。

流量如何通過廣告網路和經銷商流動

Master134服務的任務是在AdsTerra廣告網路上的“釋出商”帳戶下宣傳“廣告位”,這些廣告位適用於在其網站上有廣告位的網站所有者。Check Point表示,這些廣告位後來被四家中的一個廣告經銷商購買,例如AdKernel,AdventureFeeds,EvoLeads和ExoClick。

在一個巨大的“巧合”下,各種不良黑客將購買通過這四家經銷商提供的所有Master134廣告位,並捕獲所有被劫持的流量,他們再植入惡意軟體。Check Point表示,幾乎所有主要的線上犯罪集團都通過“AdsTerra-reseller”系統從Master134購買流量。這些小組包括漏洞攻擊套件操作員(RIG、Magnitude、GrandSoft 與 FakeFlash),流量分配系統(Fobos、HookAds、Seamless、BowMan、TorchLie、BlackTDS 與 Slyip)以及許多技術支援的詐騙操作員。

涉嫌地下交易

但Check Point的研究人員並不認為所有這些黑客購買Master134被劫持的流量只是巧合。

“現在看來,不知為什麼,存在通過第三方廣告網路成功維護了多個惡意方之間的多方合作,最大的一個是AdsTerra”,該安全公司表示:“根據我們的調查結果,我們推測不法分子可以直接向Master134支付費用。然後Master134向廣告網路公司支付重新路由費用,甚至可能掩蓋流量的起源”

“在這種情況下,Master134在網路犯罪黑社會中扮演著獨特的角色,他通過直接與AdsTerra合作,從廣告收入中獲利,併成功確保這種流量達到了預期的效果。”

Check Point表示,這種惡意廣告行動仍在繼續,並表示每週大約有4萬次感染企圖發生在針對Master134陷入困擾的使用者身上。

來源:雲+社群

大規模惡意廣告活動每週進行多達 40000 次的感染原文請看這裡