恶意广告狂潮：纽约时报、MSN、BBC均被种马

在一些知名新闻网站、娱乐门户网站以及政治评论网站中，出现了大量被Angler Exploit进行恶意广告侵害的网友。这个活动针对的是美国用户，过去的24小时内已经有感染了数万用户。

不安分的Angler Exploit

据我们的监控显示，这些恶意广告是由一家被黑的广告网站往这些知名的网站分发的。在撰写本文时，这些知名的门户网站似乎已经去除了恶意广告，但是这场事件仍在蔓延，用户仍有把恶意软件下载进系统的风险。

受影响的网站列表

msn.com nytimes.com bbc.com aol.com my.xfinity.com nfl.com realtor.com theweathernetwork.com thehill.com newsweek.com answers.com zerohedge.com infolinks.com

有趣的是，据报道Angler Exploit增加了一些的漏洞利用。这暗示着其缔造者可能会采取更加积极的策略，保持对其他竞争对手的领先。我们以前的文章曾经提到过，Angler Exploit在2015年曾成为主要的钓鱼工具包。当然，无论今年哪个工具包拔得头筹，最终遭殃的还是用户和站长。

Angler Exploit的活动情况

自3月9日起，Angler在美国的活动开始激增，但在周末似乎又慢慢平息。

上图是Angler Exploit工具包，在美国过去五天的活动情况。

据我分析得，一旦用户访问页面就会加载恶意广告，该广告会自动重定向到两个恶意广告服务器，其中第二个服务器会分发Angler Exploit工具包。

上图为过去24小时内，相应恶意广告的攻击和活动。

上图为将用户导向，下载Angler Exploit工具包的请求。

在撰写本文时，工具包会下载BEDEP变种，释放恶意软件（经检测为TROJ_AVRECON）。

用户和组织应该保持更新到最新的安全补丁，Angler Exploit工具包主要是利用Adobe Flash和Microsoft Silverlight等的漏洞。

TROJ_AVRECON的hash如下：

39600e79131fd35aa89f524306c84dffa870cd9d

后续

Malwarebytes的安全研究员再次研究这些恶意广告，发现一个疑似攻击源的域名 brentsmedia[.]com。该域名之前是属于一个网络经销商，失效之后被攻击者利用。

还发现了其他几个被用于攻击的域名：evangmedia[.]com、shangjiamedia[.]com。据推测攻击者首先是寻找域名中含有“media”失效域名，然后利用他们合法名声散播恶意广告。

安全建议

尽量不要安装 Adobe Flash、Oracle Java、Microsoft Silverlight和第三方浏览器扩展，及时更新浏览器，尽量使用64位版本的chrome浏览器，Windows用户最好安装Windows 10。

*参考来源：趋势科技、arstechnica，FB小编dawner编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）