當前位置:
首頁 > 新聞 > 四大惡意廣告集團分析

四大惡意廣告集團分析

在Confiant的「 2019年第三季度需求質量報告」中,這家廣告欺詐和安全公司分析了從1月1日到9月20日在其系統中流動的1200億次廣告曝光量,以細分各種惡意廣告活動。

雖然Confiant的報告還討論了那些低質量廣告和橫幅廣告,但此次我們將重點關注檢測到的惡意廣告以及利用它們的惡意活動。

Confiant將惡意廣告定義為一種執行不良行為廣告,例如強制重定向、加密劫持或感染訪客設備的廣告。

惡意廣告數據分析

為了創建「 2019年第三季度需求質量報告 」,Confiant分析了其廣告創意審核系統捕獲的1200億個廣告的樣本。

好消息是,進入用戶瀏覽器的惡意廣告數量正在減少,原因是Confinant過濾掉了不良廣告等解決方案,發布者採用ads.txt文件來防止未經授權的廣告出現在他們的網站上,以及供應方平台(SSP)之間更加警惕和嚴格的控制。

儘管我們正朝著正確的方向發展,惡意廣告的數量從0.25%下降到0.15%,但仍然有很多不受歡迎的廣告進入用戶的瀏覽器,並且大多數廣告都來自於某幾個供應商。

在由Confiant監控的75個SSP或廣告提供商中,超過60%的惡意廣告曝光量來自其中三個分別命名為SSP-H、SSP-I和SSP-D的。更令人擔憂的是,一個SSP對Confirant看到的30%以上的惡意廣告負責。

最高SSP的惡意曝光率

雖然看到對惡意廣告負責的ssp對攻擊的響應往往較慢,這並不奇怪,但令人驚訝的是,其他惡意廣告較少的ssp甚至會更慢。

對SSP攻擊的平均響應時間

最後,惡意廣告商往往會在監控廣告網路的人員較少的時期進行廣告活動,因此對於攻擊的響應可能會變慢。

從下面的圖表中可以看出,大多數廣告活動是在周末進行的,其中最大的廣告活動是在假期進行的。

最常推送惡意廣告的時間

主要的惡意廣告商

在2019年第三季度,有四個威脅行為者負責通過廣告網路分發的大多數惡意廣告。

這些威脅行為者的名稱為Scamclub、eGobbler、RunPMK和Zirconium,雖然它們可能在全年中穩定運行,但在特定時間,有明顯的活動顯示有特定的人員在大力推動廣告。

如下所示,您可以在其中看到不同的威脅行為者在第三季度的不同時間進行的各種活動。

四大犯罪集團的惡意廣告活動

每個集團都傾向於關注不同類型的惡意廣告,以及如何將其注入合法廣告流量,如下所述。

Scamclub

與其他威脅行為者不同,Scamclub並沒有做出很大努力來通過指紋識別和定位來逃避檢測。

取而代之的是,Scamclub將對數十個甚至數百個廣告素材進行大規模的宣傳活動,以衝擊廣告網路平台,希望其中的某些廣告能使網站訪問者覺得是安全的、合法的。

Scamclub廣告示例

eGobbler

eGobbler是一個已知的惡意程序,利用瀏覽器的漏洞或錯誤來將用戶重定向到惡意站點。在之前的一次活動中,eGobbler利用WebKit漏洞感染了超過10億個廣告。

eGobbler廣告示例

Confiant指出,顯然eGobbler的目標通常是運行Windows的台式計算機。

他們的第三季度攻擊針對主要運行Windows的台式計算機,這些台式計算機在義大利、西班牙和斯堪的納維亞半島具有很高的用戶集中度。我們的研究人員發現,即使發布者以最佳方式設置了iframe沙箱許可權,當用戶點擊父頁面時,也會生成一個彈出窗口。Confiant於8月7日向Webkit團隊報告了此漏洞,並已在iOS 13中修復。

RunPMK

RunPMK以iOS和Android上的移動流量為目標,以顯示欺詐性廣告,例如那些聲稱您獲得了一部iPhone以及旋轉獎品轉盤的廣告。

Confiant注意到RunPMK進行了針對212個國家的全球攻擊。

RunPMK廣告示例

Zirconium

眾所周知,鋯威脅組使用獨特的指紋識別方法來針對特定的廣告用戶。

據Confiant稱,他們的腳本使用了複雜的混淆技術,並且通常在桌面用戶上推送技術支持來進行詐騙。

Zirconium廣告示例

情況有所改善

儘管現在仍然存在惡意傳播問題,但廣告環境也正在改善,用戶應該繼續使用防病毒軟體來阻止已知的惡意站點或廣告屏蔽程序。

正如Confiant所指出的那樣,有一些有效的方法可以過濾掉惡意廣告,並且如果SSP保持警惕並選擇合適的合作夥伴,惡意廣告則可能還會繼續下降。

註:本文翻譯自:https://www.bleepingcomputer.com/news/security/almost-60-percent-of-malicious-ads-come-from-three-ad-providers/

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

持續對抗xHunt:通過DNS隧道檢測阻止新型PowerShell後門
微軟披露加密劫持惡意軟體Dexphot,已感染近80000台設備