很多媒體網站會在頁面加入廣告拓展收入,但我們大概沒想過那些廣告會成為不法分子散播勒索軟體的途徑。日前有網路安公司指攻擊者透過廣告聯盟及軟體漏洞,透過大型網站如《紐約時報》、BBC 、MSN 等的廣告,藉此安裝勒索軟體。
網路安全公司 Malwarebytes 指駭客利用 Flash 、Silverlight 等漏洞,然後透過廣告聯盟發放惡意廣告。部分受影響的廣告聯盟由 Google 和 AOL 等擁有。惡意廣告帶有一個 JSON 檔案,裡面包含逾 12,000 行程式碼,目的是避免防毒軟體偵察。廣告展示後,訪客就會被轉址至帶有 Angler 攻擊套件的網站,並會在電腦植入 Bedep 木馬和 TeslaCrypte 勒索軟體。受影響的網站包括《紐約時報》、BBC 、MSN、AOL 等,Trend Micro 指在 24 小時內已有數以萬計的人接觸這些惡意廣告,主要以美國為目標。
但為甚麼攻擊者可以在廣告聯盟中植入惡意廣告?SpiderLabs 指攻擊者「廢物利用」,把某個已停止服務的小型廣告聯盟的域名「brentsmedia.com」重新註冊,並用來存放惡意 JSON 檔案。由於該網站在關站前應是清白之身,因此攻擊者重新註冊域名後便可直接或透過其他廣告聯盟把自己的惡意廣告刊登。此外攻擊者也把另外兩個已到期、而且有「media」的域名註冊,該三個域名均指各同一個 IP 。
這波攻擊涉及 Flash 和 Silverlight 等漏洞,再次證明這些外掛軟體的缺點。此外這亦揭示了網上廣告除了有觀感問題,更有安全問題,或會刺激更多人採用廣告封鎖外掛。
- Big-name sites hit by rash of malicious ads spreading crypto ransomware
- Major sites including New York Times and BBC hit by ‘ransomware’ malvertising
(本文由 Unwire Pro 授權轉載)