攻击者滥用广告传播恶意程序的情况不断有事故传出,但如今手法也变得越来越刁钻,有黑客利用广告关注服务来掩盖意图,导致相关安全防护机制难以发现异状。
安全企业Guardio披露大规模的冒牌Captcha图灵验证攻击行动DeceptionAds,黑客借此传播盗取信息软件Lumma Stealer,从而绕过安全浏览(Safe Browsing)等常见的安全防护机制。而这起攻击行动黑客接触受害者的渠道,主要是经由单一的广告网络来进行,此网络每天传播超过100万次广告,并通过超过3千个内容网站引诱用户上当。
研究人员与另一家安全企业Infoblox合作,分析重定向链、经混淆处理的脚本,以及攻击者使用的流量分配系统(Traffic Distribution Systems,TDS),得知攻击者滥用BeMob等广告关注系统来埋藏攻击意图,此手法针对广告生态圈分散的情况而来,而使得攻击者能够发展成大规模攻击行动。
针对这波攻击的规程,研究人员提及攻击者通过看似Captcha的图灵验证网页来引诱用户上当,从而在受害计算机植入盗取信息软件。当用户浏览特定的内容网站时,这类验证网页便会突然出现,要求用户依照指示来验证自己是人类,一旦他们依照歹徒的指示操作,就会将攻击者的PowerShell指令复制并粘贴执行窗口,计算机就会被部署Lumma Stealer。
研究人员特别提到,根据他们的研究,所有导向冒牌Captcha网页的流量,都来自点击广告的用户。而这些广告的大量散播,都是通过赛普勒斯广告企业PropellerAds旗下的子公司Monetag的网络服务。
另一个他们发现的重要线索,则是这些Monetag广告的流量分配系统域名,将会把用户重定向具有指定特征的URL,而这些URL涉及另一家广告关注服务的BeMob流量分配系统。最终,流量才从BeMob导向冒牌的Captcha网页,而这些网页构建于Oracle Clud、Scaleway、Bunny CDN、EXOScale、Cloudflare等合法云计算服务上。
虽然广告主利用关注服务了解投放的广告成效是常态,但研究人员提及,攻击者真正的目的其实是掩护恶意活动,他们利用BeMob合法服务,导致Monetag审核工作变得复杂。
对此,研究人员向Monetag及BeMob通报,后续这两家公司都着手清理门户,其中Monetag于11月28日开始,耗费8天删除超过200个与攻击者有关的账号;BeMob则是使用4天的时间删除有关账号。
