<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("恶意广告,Angler Exploit,木马") PageTitle=stripHTML("恶意广告狂潮:美帝遭Angler Exploit侵袭种马") ArticleIntro=stripHTML("在一些知名新闻网站、娱乐门户网站以及政治评论网站中,出现了大量被Angler Exploit进行恶意广告侵害的网友。这个活动针对的是美国用户,过去的24小时内已经有感染了数万用户。") Articlecontent=stripHTML("在一些知名新闻网站、娱乐门户网站以及政治评论网站中,出现了大量被Angler Exploit进行恶意广告侵害的网友。这个活动针对的是美国用户,过去的24小时内已…") ModuleName = stripHTML("hack") InfoID = stripHTML("225311") ChannelShortName=stripHTML("Hack") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("hack") %> 恶意广告狂潮:美帝遭Angler Exploit侵袭种马 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> Hack >> 牧马天地 >> 正文

[组图]恶意广告狂潮:美帝遭Angler Exploit侵袭种马

2016/3/19 作者:dawner 来源: freebuf
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  

ransomware-hacking-password.png

  在一些知名新闻网站、娱乐门户网站以及政治评论网站中,出现了大量被Angler Exploit进行恶意广告侵害的网友。这个活动针对的是美国用户,过去的24小时内已经有感染了数万用户。

  不安分的Angler Exploit

  据我们的监控显示,这些恶意广告是由一家被黑的广告网站往这些知名的网站分发的。在撰写本文时,这些知名的门户网站似乎已经去除了恶意广告,但是这场事件仍在蔓延,用户仍有把恶意软件下载进系统的风险。

  受影响的网站列表

  msn.com

  nytimes.com

  bbc.com

  aol.com

  my.xfinity.com

  nfl.com

  realtor.com

  theweathernetwork.com

  thehill.com

  newsweek.com

  answers.com

  zerohedge.com

  infolinks.com

  有趣的是,据报道Angler Exploit增加了一些的漏洞利用。这暗示着其缔造者可能会采取更加积极的策略,保持对其他竞争对手的领先。我们以前的文章曾经提到过,Angler Exploit在2015年曾成为主要的钓鱼工具包。当然,无论今年哪个工具包拔得头筹,最终遭殃的还是用户和站长。

  Angler Exploit的活动情况

  自3月9日起,Angler在美国的活动开始激增,但在周末似乎又慢慢平息。

  

1.jpg

  上图是Angler Exploit工具包,在美国过去五天的活动情况。

  据我分析得,一旦用户访问页面就会加载恶意广告,该广告会自动重定向到两个恶意广告服务器,其中第二个服务器会分发Angler Exploit工具包。

  

2.jpg

  

3.jpg

  上图为过去24小时内,相应恶意广告的攻击和活动。

  

4.jpg

  

5.jpg

  上图为将用户导向,下载Angler Exploit工具包的请求。

  在撰写本文时,工具包会下载BEDEP变种,释放恶意软件(经检测为TROJ_AVRECON)。

  用户和组织应该保持更新到最新的安全补丁,Angler Exploit工具包主要是利用Adobe Flash和Microsoft Silverlight等的漏洞。

  TROJ_AVRECON的hash如下:

  39600e79131fd35aa89f524306c84dffa870cd9d

  后续

  Malwarebytes的安全研究员再次研究这些恶意广告,发现一个疑似攻击源的域名 brentsmedia[.]com。该域名之前是属于一个网络经销商,失效之后被攻击者利用。

  还发现了其他几个被用于攻击域名:evangmedia[.]com、shangjiamedia[.]com。据推测攻击者首先是寻找域名中含有“media”失效域名,然后利用他们合法名声散播恶意广告。

  安全建议

  尽量不要安装 Adobe Flash、Oracle Java、Microsoft Silverlight和第三方浏览器扩展,及时更新浏览器,尽量使用64位版本的chrome浏览器,Windows用户最好安装Windows 10。



  • 上一篇Hack:

  • 下一篇Hack: 没有了