圖片來源: 

Confiant

安全研究人員發現有駭客組織將惡意程式寫入圖片檔發動惡意廣告(malvertising)攻擊,專門鎖定Mac及iOS用戶,已有500萬用戶網路連線遭到劫持,造成上百萬美元收益損失。

該駭客組織因為透過veryied-malst.com發動惡意廣告攻擊,因而被命名為VeryMal。VeryMal之前即以擅長使用圖像隱碼術(steganography)手法造成用戶端程式碼混淆聞名。Confiant研究人員今年1月11日到13日,又發現這個組織在美國二大網路廣告交易平台上針對Mac及iOS用戶發動攻擊,劫持廣告流量,波及四分之一的百大出版商網站。

研究人員Eliya Stein解釋,由於惡意廣告偵測技術日愈發達,駭客體認到太簡單的攻擊,如JavaScript混淆的手法很容易被察覺,而圖像隱碼術就成了好用選擇,因為駭客用不著嵌入16進位字串或麻煩的查找表。

在Malwarebytes協助下,研究人員分析出本次攻擊的手法。首先,VeryMal在合法廣告圖片的像素中加入一段惡意程式碼,被動過手腳的廣告圖片會隨著用戶瀏覽合法網站,下載到用戶裝置上。另一方面,VeryMal也在推送到終端裝置的廣告單元(ad slot)中加入JavsScript。當廣告抵達用戶裝置上時JavaScript即會檢查該裝置是否支援蘋果字體。如果是,這段JavaScript就會讀取廣告圖片檔,並解壓縮隱藏的惡意程式碼,後者也是一段JavaScript指令,它會劫持Mac電腦或iPhone瀏覽器導向另一個URL,接著又導向另一個網站。最後網站會跳出視窗要求用戶安裝軟體更新,通常是偽裝成Adobe Flash Player的惡意程式。

上述過程中,駭客的目的是創造圖片曝光次數(impression)以賺取廣告費。Confiant偵測到駭客最高一天可驅動500萬次廣告圖片曝光次數或網路連線。安全公司估計單單1月11日當天,出版商網站因廣告流量被挾持就損失超過120萬美元,還未計入被害使用者未來加裝廣告過濾軟體,以及信用喪失造成的損失。

去年11月Confiant也偵測到由另一個駭客組織ScamClub發動的惡意廣告攻擊,單單兩天內就挾持了3億次網路連線。

熱門新聞

Advertisement