惡意廣告是將使用者送到含有惡意程式碼網站的常用方法。然而,最近這些廣告出現在新的攻擊平台上:YouTube。
在過去幾個月內,趨勢科技一直在監視著一起利用惡意廣告來將使用者導到各種惡意網站的惡意攻擊活動。最近,趨勢科技看到此攻擊活動也出現在 YouTube 的廣告上。這是個令人擔憂的發展:不僅是因為惡意廣告出現在 YouTube 上,而且它們出現在超過 1100萬點閱率的影片 – 具體地說是一個知名唱片公司上傳的音樂影片。
我們觀察到的廣告不會直接從YouTube導到惡意網站。相反地,這些流量會經過兩個廣告網站,顯示這次攻擊活動背後的網路犯罪分子向合法廣告供應商購買了流量。
為了讓它們的活動看起來正常,攻擊者使用了被修改的波蘭政府網站DNS資訊。攻擊者並沒有入侵真正的網站;而是變更DNS資料來加入子網域連到它們自己的伺服器。
在網路流量到達最終位在美國的惡意伺服器前,會先穿過兩個重新導向伺服器(位於荷蘭)。
此次攻擊所使用的漏洞攻擊包是Sweet Orange漏洞攻擊包。Sweet Orange已知會使用四種漏洞,即:
- CVE-2013-2460 – Java
- CVE-2013-2551 – Internet Explorer
- CVE-2014-0515 – Flash
- CVE-2014-0322 – Internet Explorer
基於趨勢科技對此攻擊活動的分析,我們可以確定此版本的Sweet Orange使用IE瀏覽器的漏洞。其後續攻擊所使用的網址不斷地改變,但都是使用前面所提到相同波蘭網站上的子網域。而且,這些後續攻擊的行為都是一樣的。
這次攻擊被偵測為TROJ_KOVTER.SM,屬於以各種勒索軟體 Ransomware攻擊而知名 KOVTER 惡意軟體家族。
有進行系統更新的使用者不會受到此次攻擊影響,因為微軟在2013年5月就發佈了針對此漏洞的修補程式。趨勢科技推薦使用者要閱讀和更新來自微軟、JAVA和Adobe等廠商的軟體安全公告,因為攻擊者仍然會去使用舊的漏洞。更新必要的修補程式是保護系統安全的必要步驟。備份檔案也是很好的安全做法,可以防止資料在受到攻擊時丟失。
除了封鎖此次攻擊所用到的檔案和惡意網站外,趨勢科技的瀏覽器漏洞防護技術也可以阻止針對這些漏洞的攻擊。
以下是此次攻擊所偵測到的部分雜湊值:
- 09BD2F32048273BD4A5B383824B9C3364B3F2575
- 0AEAD03C6956C4B0182A9AC079CA263CD851B122
- 1D35B49D92A6E41703F3A3011CA60BCEFB0F1025
- 32D104272EE93F55DFFD5A872FFA6099A3FBE4AA
- 395B603BAD6AFACA226A215F10A446110B4A2A9D
- 6D49793FE9EED12BD1FAA4CB7CBB81EEDA0F74B6
- 738C81B1F04C7BC59AD2AE3C9E09E305AE4FEE2D
- A1A5F8A789B19BE848B0F2A00AE1D0ECB35DCDB0
- A7F3217EC1998393CBCF2ED582503A1CE4777359
- C75C0942F7C5620932D1DE66A1CE60B7AB681C7F
- E61F76F96A60225BD9AF3AC2E207EA340302B523
- FF3C497770EB1ACB6295147358F199927C76AF21
趨勢科技已經通知了Google此次事件。
@原文出處:YouTube Ads Lead To Exploit Kits, Hit US Victims作者:Joseph C Chen(趨勢科技詐騙研究員)
趨勢科技PC-cillin 2015雲端版 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載