欢迎光临
我们一直在努力

可能是史上最先进的恶意广告攻击:一个Banner图感染了上百万PC,雅虎、MSN也中招

一个广告Banner,不需要什么交互就可能让你的PC感染恶意程序,是不是感觉很牛掰?据说就目前为止,已经有上百万PC因为这样的原因被感染。而且很多大型网站似乎都中招了,其中就包括雅虎和MSN,如果你最近看到过下面这样的广告,就真的要小心了!注意,只是看到就要小心。这个病毒着实让我们吃惊,因为它不需要你的动作,看到的只是一张图片。
像素中的恶意代码
安全公司ESET的恶意软件研究专家在本周二发布了报告,将这个Exploit Kit称为Stegano。Stegano可以将恶意代码嵌入banner广告的像素中,而这些banner广告通常都在一些广为人知的大型网站上,每日访问量超百万。按照ESET的说法,很多是新闻类媒体网站。
Stegano第一次出现可以追溯到2014年,但是从今年10月初开始演变成了如今这种利用banner广告在各大型网站传播的方式。
Stegano这个名字衍生于Steganography(隐写术)这个词,这门技术其实是通过一些技术手段将信息或内容隐藏在一些数字图像之中,因为肉眼不可见而实现所谓的隐形效果。
其实Stegano是将恶意代码隐藏在透明PNG图像的阿尔法通道(Alpha Channel)之中,学设计的同学应该知道,图像的Alpha通道可以通过更改每一个像素的透明度值来定义它们的透明程度。而恶意代码的传递竟然是通过Alpha通道的值来传递的,实在是相当高端。接下来,就如大家所知道的那样,有人将这个包装后的恶意广告部署在了一些流量较大的主流网站上。

122101

从左到右依次为初始版本;恶意版本和为了演示效果的恶意版本增强型

“由于这种修改十分细微,被恶意修改过的广告跟初始版本看起来基本没有什么差别。”
能看出来下面这两张图哪张是原图,哪张含恶意代码么~

122102

专家还提到,这些恶意广告会显示名为Browser Defence或者Broxu的软件宣传内容,隐蔽性极强!最近浏览大型网站,如果你也看到这两个软件的广告了,那就得警惕起来了!

“这些banner广告位于URL为hxxps://browser-defence.com或hxxps://broxu.com的远程域。”发起了这次攻击的组织叫做AdGholas,他们擅长使用一些有效的技术手段来通过广告传播恶意软件,即大家所知道的恶意广告。他们上次实施攻击就在7月,仅在一天内就利用恶意软件感染了超过一百万PC。Malwarebytes恶意软件情报分析的负责人Jerome Segura提到,在短时间内阻止AdGholas的攻击还是可能实现的,但他们很快就可以利用在线广告的其他安全漏洞继续发起攻击。从Segura的观察来看,受灾的网站至少就包括了雅虎和MSN。
“这是我见过手段最先进的恶意广告攻击之一。” Segura说道。
Stegano原理
一旦有用户访问了存在这种恶意广告的网站,这个嵌入在广告中的恶意脚本就可以在不跟用户交互的情况下将用户电脑的信息发送给攻击者的远程服务器。这个恶意脚本针对的是用IE浏览器的用户,它会先利用IE的CVE-2016-0162漏洞来扫描用户电脑,看看自己是否在沙箱或者某些安全软件的虚拟环境之中。
在验证了用户浏览器之后,恶意脚本会通过TinyURL(短网址)服务将浏览器重定向到一个网址。之后会加载一个Flash文件,这个文件能够根据用户使用的不同Flash Player版本来利用Flash Player的不同漏洞(CVE-2015-8651,、CVE-2016-1019、CVE-2016-4117),虽然这几个漏洞现在已经补上了。

当然了,现在包括谷歌在内,世界上主流的浏览器都已经开始禁止flash的使用了,flash很快就会退出历史舞台,Adobe公司也提醒用户放弃对flash的使用,这需要一个过程,太多网站还在作用flash动画,未来会被html5全面代替。

122103

ESET的安全专家在blog中提到,“如果攻击者发现检查的结果没什么问题,就会试图再次从这个服务器下载一个加密payload,然后把它伪装成gif图片。”过程中会下载伪装的的“GIF图片”,再解密其中的payload,然后通过regsvr32.exe或rundll32.exe执行。恶意payloads的类型可能包括后门、间谍软件、银行木马、文件窃取等。最后,为了安全,电脑还是需要杀毒软件和做为一个防护措施。黑米桃记录于2016年12月21日。

赞(0) 打赏
未经允许不得转载:黑米桃 » 可能是史上最先进的恶意广告攻击:一个Banner图感染了上百万PC,雅虎、MSN也中招
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏