在一些知名新闻网站、娱乐门户网站以及政治评论网站中,出现了大量被Angler Exploit进行恶意广告侵害的网友。这个活动针对的是美国用户,过去的24小时内已经有感染了数万用户。
不安分的Angler Exploit
据我们的监控显示,这些恶意广告是由一家被黑的广告网站往这些知名的网站分发的。在撰写本文时,这些知名的门户网站似乎已经去除了恶意广告,但是这场事件仍在蔓延,用户仍有把恶意软件下载进系统的风险。
受影响的网站列表
msn.com nytimes.com bbc.com aol.com my.xfinity.com nfl.com realtor.com theweathernetwork.com thehill.com newsweek.com answers.com zerohedge.com infolinks.com
有趣的是,据报道Angler Exploit增加了一些的漏洞利用。这暗示着其缔造者可能会采取更加积极的策略,保持对其他竞争对手的领先。我们以前的文章曾经提到过,Angler Exploit在2015年曾成为主要的钓鱼工具包。当然,无论今年哪个工具包拔得头筹,最终遭殃的还是用户和站长。
Angler Exploit的活动情况
自3月9日起,Angler在美国的活动开始激增,但在周末似乎又慢慢平息。
上图是Angler Exploit工具包,在美国过去五天的活动情况。
据我分析得,一旦用户访问页面就会加载恶意广告,该广告会自动重定向到两个恶意广告服务器,其中第二个服务器会分发Angler Exploit工具包。
上图为过去24小时内,相应恶意广告的攻击和活动。
上图为将用户导向,下载Angler Exploit工具包的请求。
在撰写本文时,工具包会下载BEDEP变种,释放恶意软件(经检测为TROJ_AVRECON)。
用户和组织应该保持更新到最新的安全补丁,Angler Exploit工具包主要是利用Adobe Flash和Microsoft Silverlight等的漏洞。
TROJ_AVRECON的hash如下:
39600e79131fd35aa89f524306c84dffa870cd9d
后续
Malwarebytes的安全研究员再次研究这些恶意广告,发现一个疑似攻击源的域名 brentsmedia[.]com。该域名之前是属于一个网络经销商,失效之后被攻击者利用。
还发现了其他几个被用于攻击的域名:evangmedia[.]com、shangjiamedia[.]com。据推测攻击者首先是寻找域名中含有“media”失效域名,然后利用他们合法名声散播恶意广告。
安全建议
尽量不要安装 Adobe Flash、Oracle Java、Microsoft Silverlight和第三方浏览器扩展,及时更新浏览器,尽量使用64位版本的chrome浏览器,Windows用户最好安装Windows 10。
*参考来源:趋势科技、arstechnica,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)