大规模恶意广告活动每周进行多达40,000次的感染

今天，网络安全公司Check Point发布的一份关于一场大规模的恶意广告活动的报告。

研究人员认为，这个恶意广告活动的运营商已经加入了广告网络和广告经销商，以确保他们被劫持的流量到达首选的客户，然后他们将受害者重定向到技术支持骗局或利用套件感染他们勒索软件、银行特洛伊木马或其他人。

Check Point将此复杂方案命名为Master134，位于广告系列整个运营方案中的中心和关键服务器的网址之后。

Master134网络窃取被黑客入侵的WordPress网站的流量

根据Check Point 报告，这一切都始于Master134不法分子接管WordPress网站。研究人员说，他们发现了超过10,000个被这个团伙攻陷的WordPress网站。

Check Point声称所有这些被黑网攻击的WordPress网站都运行WordPress CMS版本4.7.1，很容易受到远程代码执行漏洞的攻击，这使得骗子可以接管网站。

攻击者在这些网站上插入代码以在这些网站上注入广告，这些网站后来劫持了用户并将其重定向到主Master134的“重定向”服务。

此外，研究人员称该组还使用PUP（不良的程序），例如浏览器主页劫持程序，将用户重定向到Master134的门户。

流量如何通过广告网络和经销商流动

Master134服务的任务是在AdsTerra广告网络上的“发布商”帐户下宣传“广告位”，这些广告位适用于在其网站上有广告位的网站所有者。

Check Point表示，这些广告位后来被四家中的一个广告经销商购买，例如AdKernel，AdventureFeeds，EvoLeads和ExoClick。

在一个巨大的“巧合”下，各种不良黑客将购买通过这四家经销商提供的所有Master134广告位，并捕获所有被劫持的流量，他们再植入恶意软件。

Check Point表示，几乎所有主要的在线犯罪集团都通过“AdsTerra-reseller”系统从Master134购买流量。这些小组包括漏洞攻击套件操作员（RIG，Magnitude，GrandSoft，FakeFlash），流量分配系统（Fobos，HookAds，Seamless，BowMan，TorchLie，BlackTDS，Slyip）以及许多技术支持的诈骗操作员。

涉嫌地下交易

但Check Point的研究人员并不认为所有这些黑客购买Master134被劫持的流量只是巧合。

“现在看来，不知为什么，存在通过第三方广告网络成功维护了多个恶意方之间的多方合作，最大的一个是AdsTerra，”该安全公司表示。

“根据我们的调查结果，我们推测不法分子可以直接向Master134支付费用。然后Master134向广告网络公司支付重新路由费用，甚至可能掩盖流量的起源，”他们补充道。

“在这种情况下，Master134在网络犯罪黑社会中扮演着独特的角色;他通过直接与AdsTerra合作，从广告收入中获利，并成功确保这种流量达到了预期的效果，或者在我们假定的情况下 - 是错误的。”

Check Point表示，这种恶意广告行动仍在继续，并表示每周大约有4万次感染企图发生在针对Master134陷入困扰的用户身上。