恶意广告狂潮:美帝遭Angler Exploit侵袭种马

2016-03-17 215351人围观 ,发现 1 个不明物体 数据安全系统安全

ransomware-hacking-password.png

在一些知名新闻网站、娱乐门户网站以及政治评论网站中,出现了大量被Angler Exploit进行恶意广告侵害的网友。这个活动针对的是美国用户,过去的24小时内已经有感染了数万用户。

不安分的Angler Exploit

据我们的监控显示,这些恶意广告是由一家被黑的广告网站往这些知名的网站分发的。在撰写本文时,这些知名的门户网站似乎已经去除了恶意广告,但是这场事件仍在蔓延,用户仍有把恶意软件下载进系统的风险。

受影响的网站列表

msn.com

nytimes.com

bbc.com

aol.com

my.xfinity.com

nfl.com

realtor.com

theweathernetwork.com

thehill.com

newsweek.com

answers.com

zerohedge.com

infolinks.com

有趣的是,据报道Angler Exploit增加了一些的漏洞利用。这暗示着其缔造者可能会采取更加积极的策略,保持对其他竞争对手的领先。我们以前的文章曾经提到过,Angler Exploit在2015年曾成为主要的钓鱼工具包。当然,无论今年哪个工具包拔得头筹,最终遭殃的还是用户和站长。

Angler Exploit的活动情况

自3月9日起,Angler在美国的活动开始激增,但在周末似乎又慢慢平息。

1.jpg

上图是Angler Exploit工具包,在美国过去五天的活动情况。

据我分析得,一旦用户访问页面就会加载恶意广告,该广告会自动重定向到两个恶意广告服务器,其中第二个服务器会分发Angler Exploit工具包。

 2.jpg

3.jpg

上图为过去24小时内,相应恶意广告的攻击和活动。

4.jpg

5.jpg

上图为将用户导向,下载Angler Exploit工具包的请求

在撰写本文时,工具包会下载BEDEP变种,释放恶意软件(经检测为TROJ_AVRECON)。

用户和组织应该保持更新到最新的安全补丁,Angler Exploit工具包主要是利用Adobe Flash和Microsoft Silverlight等的漏洞。

TROJ_AVRECON的hash如下:

39600e79131fd35aa89f524306c84dffa870cd9d

后续

Malwarebytes的安全研究员再次研究这些恶意广告,发现一个疑似攻击源的域名 brentsmedia[.]com。该域名之前是属于一个网络经销商,失效之后被攻击者利用。

还发现了其他几个被用于攻击的域名:evangmedia[.]com、shangjiamedia[.]com。据推测攻击者首先是寻找域名中含有“media”失效域名,然后利用他们合法名声散播恶意广告。

安全建议

尽量不要安装 Adobe Flash、Oracle Java、Microsoft Silverlight和第三方浏览器扩展,及时更新浏览器,尽量使用64位版本的chrome浏览器,Windows用户最好安装Windows 10。

*参考来源:趋势arstechnica,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • tank 回复
    这个安全建议一样都没做到
    )6( 亮了
发表评论

已有 1 条评论

取消
Loading...
dawner

黎明已经过去,黑暗就在眼前!

289 文章数 416 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php