E安全7月6日訊 Proofpoint的研究人員發現一起大規模AdGholas Malvertising活動，通過幾款銀行木馬感染了100萬台電腦。

何為

Malvertising

？

根據維基百科的解釋，Malvertising即「惡意廣告」——通過在線廣告傳播惡意軟體。

Malvertising包括將惡意或摻雜惡意軟體的廣告注入合法在線廣告網路和網頁中。在線廣告為惡意軟體的傳播提供了強有力的平台，為了吸引用戶，以及銷售或宣傳產品，人們在在線廣告中傾注了大量精力，例如可以將廣告內容可以插入知名度較高的網站。Malvertising對攻擊者而言極具吸引力，因為可以通過大量合法網站輕鬆傳播惡意軟體，而無需直接攻擊這些網站。

AdGholas攻擊方式

AdGholas自2015年開始活躍，AdGholas惡意廣告活動背後的威脅攻擊者善於使用隱寫術（Steganography），精準地將目光瞄向大量惡意廣告和曝光次數（Impression），此外，他們還具備規避檢測能力。

Proofpoint在分析中指出，Proofpoint研究人員發現並分析了自2015年開始運作的Malvertising網路。Proofpoint將其命名為AdGholas，每天感染的設備多達100萬台。

其作為首例使用「隱寫術」

Proofpoint的研究人員稱，在路過式惡意軟體活動中使用隱寫術，這是首例。攻擊採用被認為是低風險的「信息披露」漏洞，因此不會引起廠商和研究人員的注意。

攻擊者接收來自各種反向鏈接（源自20多個不同的AdAgency/AdExchange平台）的高品質流量。AdGholas每天吸引的點擊量介於100萬至500萬之間，近10%-20%的點擊量被重定向至託管漏洞利用工具（EK）的域名。

網路犯罪分子使用的域名看似就是合法網站，即巴黎Merovinjo 酒店、 Ec-centre 和Mamaniaca的克隆版。

因地制宜

Proofpoint的專家發現，黑客根據用戶和地理位置傳播不同的惡意軟體。

分析指出，Proofppoint與Trend

Micro的研究人員經過分析發現，AdGholas的運行方式不盡相同，但都具有同樣的多層過濾和混淆方法。例如，以多種方式發送重定向標記，將xhr-sid作為POST響應頭髮送到GIF，但有時會隱藏在初始著陸頁「addStat哈希」的末尾。

Angler EK消失後，AdGholas威脅攻擊者沉默了兩周，之後於6月末使用相同的域名利用Neutrino EK發起攻擊活動。

傳送銀行木馬

惡意軟體研究人員發現攻擊者傳送銀行木馬，例如加拿大的Gozi ISFB、澳大利亞的Terdot.A（又名DELoader）、裝載有Godzilla的Terdot.A、以及西班牙的Gootkit。

同時，專家觀察到4個不同的Neutrino線程，因為Neutrino不包含內部TDS，而Blackhole、Angler和Nuclear包含TDS。

最近，AdGholas威脅攻擊者或緊密的分銷合作夥伴運行反向代理，並於4月底提供了EK實例。

AdGholas活動表明，為了隱秘、有效行動，惡意廣告活動變得日益複雜。

分析結論

Proofpoint分析的主要發現如下：

• 規模大：AdGholas網路每天吸引的高質量點擊流量多達100萬至500萬。

• 隱秘性：在路過式惡意軟體活動中，這是首次使用隱寫術，攻擊採用被認為是低風險的「信息披露」漏洞，從而規避被廠商和研究人員發現。

• 過濾精準：AdGholas採用智能、多步驟過濾技術針對更精準的目標客戶系統，包括規避非OEM和非Nvidia/ATI支持的系統。

• 具有說服力：重定向網站避免引起懷疑，並精準模仿廣告機構預期的合法網站提高有效性。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！