惡意廣告Malvertising - 資安趨勢部落格

FBI警告：小心駭客假借15個品牌之名,投放 Google關鍵字廣告,散播 IcedID 殭屍網路

2022 年 12 月 29 日2022 年 12 月 29 日趨勢科技 TrendMicro

趨勢科技分析了某起利用 Google 點擊付費 (PPC) 廣告散播 IcedID 殭屍網路的惡意廣告,IcedID 能讓駭客執行高破壞力的後續攻擊來侵害系統，例如：竊取資料或使用勒索病毒癱瘓系統。

IcedID 殭屍網路假冒15個知名品牌及應用程式,刊登Google 點擊付費廣告, 散播惡意程式

在密切追蹤 IcedID 殭屍網路的活動期間，趨勢科技發現其散播方式出現重大改變。從 2022 年 12 月起，我們觀察到它開始在惡意廣告攻擊中使用 Google點擊付費 (PPC) 廣告來散播 IcedID。趨勢科技將此 IcedID 變種命名為「TrojanSpy.Win64.ICEDID.SMYXCLGZ」。

Google Ads 之類的廣告平台可讓企業瞄準特定對象投放廣告，以便衝高流量和提升買氣。使用惡意廣告來散播惡意程式的駭客集團就是利用這類機制，針對特定的關鍵字來投放惡意廣告，引誘不知情的搜尋引擎使用者下載其惡意程式。

趨勢科技的研究發現，IcedID 駭客集團會製作模仿合法企業與知名應用程式的冒牌網頁，然後再搭配惡意廣告來散播 IcedID 惡意程式。最近，美國聯邦調查局 (FBI) 發布一份警告指出網路犯罪集團如何利用搜尋引擎的廣告服務偽裝成合法品牌將使用者帶到惡意網站來獲利。

本文從技術面詳細說明 IcedID 殭屍網路的最新散播方式與使用的最新載入器。

繼續閱讀

偽裝成無線網路安全應用程式,RottenSys將 Android 行動裝置變成殭屍網路

2018 年 03 月 22 日2018 年 09 月 25 日趨勢科技 TrendMicro

報導指出一款名為「RottenSys」的惡意程式，透過植入廣告誘騙用戶點擊、牟取暴利，估計近 500萬台手機在上市前就被暗藏惡意軟體，包括華為、小米、OPPO 等中國廠牌手機都遭殃。本文深入解析RottenSys 。

2016年以來影響近 500 萬台的Android設備

安全研究人員發現一款被稱為 RottenSys 的廣告軟體（趨勢科技將其偵測為ANDROIDOS_ROTTENSYS），據報自2016年以來影響了近500萬台的Android設備。RottenSys是根據所分析的樣本命名，目前有316種變種，每種都根據攻擊活動，所針對廣告平台及散播管道來客製化。進一步對RottenSys進行研究後發現幕後操作者正在嘗試新一波的攻擊，會將受影響設備變成殭屍網路。

[TrendLabs研究：2017年的行動威脅環境]

偽裝成無線網路安全應用程式要求Android權限

RottenSys會偽裝成無線網路安全應用程式/服務並要求Android上的權限。在安裝之後，它會經過一段時間再去連接命令與控制（C&C）伺服器 – 這是RottenSys躲避偵測的手法之一。另一個作法是廣告軟體只包含一個不會執行惡意行為的植入程式（dropper）組件。以下是RottenSys的運作方式：

安裝之後，植入程式將與C&C伺服器連線。
C&C伺服器會發送執行活動所需的其他組件列表。它們是用DOWNLOAD_WITHOUT_NOTIFICATION權限取回，這代表著無辜的使用者不會收到警告。
RottenSys使用開放原始碼的Android框架，這框架可以讓所有組件同時執行（即在設備主畫面顯示廣告）。
RottenSys會利用一個稱為MarsDaemon的框架來保持程序活著。確保即使RottenSys程序被強制終止也能回復RottenSys的運作。

[來自TrendLabs安全情報：GhostTeam廣告軟體竊取Facebook帳密]

幕後操作者可以控制手機並秘密地安裝更多應用程式

MarsDaemon會影響手機效能並且會顯著地消耗電力。但除了造成對手機的耗損之外，研究人員發現RottenSys的幕後操作者在10天內就可以已經賺得了超過115,000美元。繼續閱讀

從雅虎廣告網路遭惡意廣告入侵,談惡意廣告的運作模式與防範之道

2015 年 09 月 08 日2015 年 09 月 09 日趨勢科技 TrendMicro

惡意廣告並非新的產物；它是已經存在了十多年的犯罪手法。早在 2004年，就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情，它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間，許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報、Google和赫芬頓郵報等數不清的例子。

8 月發生了一件聯合網路犯罪攻擊，Yahoo 的廣告網路遭到襲擊，使得每月造訪該網站的 69 億人可能因而陷入危險。歹徒運用的是最新的威脅，例如：惡意廣告（malvertising）和漏洞攻擊套件。

惡意廣告（malvertising）是一些由網路犯罪者製作並刊登在網站上的廣告，只要是瀏覽了刊登這類廣告的網站，使用者就有可能遭殃，因此對整個廣告供應鏈帶來嚴重的影響。此次案例，網路犯罪集團利用了用戶數量龐大的 Microsoft Azure 服務網站來提高其潛在受害者數量。這樣的作法屢見不鮮，歹徒經常利用一些熱門的話題並滲透相關的網站。此外，歹徒也滲透了 Yahoo 這個全球最大的廣告網路之一，因此可能的感染數量相當可觀。而且，惡意廣告的運作模式是，使用者不須點選惡意廣告就可被感染。正因如此，一些不知情的使用者才會光是連上有問題的網頁就遭到感染。

【編按】由於網路犯罪集團越來越常利用惡意線上廣告來攻擊使用者，所以使用者經常會在購物網站、新聞網站、社群媒體以及遊戲網站看到這類廣告。
進一步了解惡意廣告感染使用者裝置方式,建議閱讀惡意廣告Malvertising：當廣告出現攻擊行為

網路犯罪使用漏洞攻擊套件的頻率越來越高，因為這類攻擊套件非常容易取得而且不貴。此次攻擊使用的是 Angler 漏洞攻擊套件來感染已入侵網站的訪客。漏洞攻擊套件的作者們非常積極地在第一時間搶先收錄最新曝光的漏洞。如下圖所示，許多今年才曝光的 Adobe Flash 漏洞都已收錄到 Angler 攻擊套件當中。

尤其，CVE-2015-0313 已在今年稍早一起非常類似的攻擊當中出現過。駭客利用這個漏洞攻擊套件在一些已遭入侵的網站上顯示惡意廣告。繼續閱讀

惡意廣告Malvertising：當廣告出現攻擊行為

2015 年 04 月 13 日2015 年 09 月 09 日趨勢科技 TrendMicro

利用惡意廣告(Malvertising)來誘騙受害者的網路犯罪集團，就像利用配樂來製造電影氣氛的大師一樣，能在短短幾秒之內就讓人們坐立難安。電影大師懂得利用音樂來配合情緒，歹徒則懂得利用廣告來配合您的喜好和習性，所以受害者經常不知不覺就點選了惡意廣告，絲毫不知已落入陷阱。對某些人來說，網路廣告沒什麼大不了的，頂多只是網路生活中的一點小小困擾，而且惡意廣告經常出現在人們信賴的網站上，因此這項攻擊才會這麼有效。

這類廣告之所以可怕，是因為其背後暗藏著可能造成使用者帳號被盜、身分遭到冒用或是造成財務損失的惡意程式。

惡意廣告如何運作？

惡意廣告的受害者不單只有一般使用者而已，還有廣告主。線上廣告與行動廣告都允許廣告主追蹤使用者的地點、資料以及其他資訊。由於網路犯罪集團越來越常利用惡意線上廣告來攻擊使用者，所以使用者經常會在購物網站、新聞網站、社群媒體以及遊戲網站看到這類廣告。

惡意廣告感染使用者裝置的方式主要有兩種：

第一是透過使用者點選廣告來感染，惡意廣告會以彈出視窗或警告訊息的方式呈現。這類社交工程（social engineering ）會要求使用者點選廣告以便能安裝惡意程式。
第二是藉由順道下載 (drive-by download) 技巧，使用者只要連上含有惡意廣告的網頁即可感染。因為這類廣告當中含有專門掃瞄使用者系統漏洞的程式碼，可利用漏洞來促使系統下載惡意程式並將它執行，最後讓系統感染資料竊取程式。繼續閱讀