Myvue.com和Autotrader.co.uk感染了恶意广告

利用许多安全公司在周末放松的事实,网络犯罪分子利用这次罢工的机会。

这个周末,流行的汽车交易网站Autotrader.co.uk和电影网站Myvue.com都投放了广告,将浏览用户重定向到载有漏洞的恶意网站。–一种现象,也称为恶意广告。

网站本身是’遭到入侵,但正在投放来自广告商Unanimis的广告,从而导致用户无缝浏览–在后台并且没有他们的知识– to exploit sites.

Unanimis向数千个网站投放广告,我们’ve收到报告称ebay.co.uk和londonstockexchange.com也受到了这种恶意广告活动的影响。网络罪犯通过恶意广告活动享有的优势之一是,它们可以轻松地散布在大量合法网站上,而不会直接损害那些网站,但可以通过使用恶意广告间接地进行传播。

攻击细节

未从网站投放恶意广告’ main pages –为了有效利用此漏洞,网站必须加载特定的广告。例如,在Autotrader.co.uk,如果浏览用户单击按钮搜索汽车,则会通过广告重定向到漏洞利用站点,而在Myvue.com,如果浏览用户单击导航按钮,也会发生同样的情况。按钮订购电影票。它’在这些点上,更具体的广告被发送给用户’s browser.

让’我们来看一下Autotrader.co.uk中的示例。这是一张图像,捕获当用户搜索具有任何所需条件的汽车时在后台发生的情况:

第一步是用户根据其期望的条件搜索汽车时浏览到的URL:您可以看到,URL的一部分包含邮政编码(模糊),价格范围等。在后台Autotrader.co.uk加载了一些广告提供商的一些广告。在第2步,它从名为Unanimis的合法广告提供商加载广告。

广告商在步骤3中重定向到广告。步骤3进一步重定向到步骤4,但未显示任何广告。步骤4是一个装有漏洞利用工具包的网站,并且向用户发送了一些漏洞利用程序’s browser.

该漏洞利用站点被大量混淆,并提供针对Internet Explorer,Adobe Acrobat Reader和Java的多种漏洞利用。我们发现所使用的漏洞利用工具包与称为“Blackhole”.

删除的文件会在用户身上安装流氓防病毒软件’s computer –该软件告诉用户他们的计算机已被感染,并提供“cleaning 防毒软件”售价$ 59.95。同时,该软件通过占用CPU功率,显示令人不安的弹出窗口等来破坏计算机的使用和常规功能。删除的文件检测率较低。

我们在这个恶意广告活动中一直关注漏洞利用域已有很长时间,而且似乎网络犯罪分子使用基于收费的广告网络来传播恶意软件–这意味着网络罪犯愿意为传播恶意软件付费。

已安装的恶意防病毒软件:

作者:Websense安全实验室的Elad Sharf。

分享这个