思科系统(Cisco Systems)发现,在迪士尼、Facebook、《卫报》(The Guardian)等公司的域名上发布的恶意广告,正在引导人们使用恶意软件,将电脑的文件加密,直到支付赎金。
就在这一调查结果公布前不久,科技公司和美国执法部门联合开展了一项大规模行动关闭僵尸网络散布网上银行恶意软件和所谓的“勒索软件”,这是一种高利润的骗局,去年激增。
思科的调查揭示了一种技术复杂且非常有效的方式,可以让大量电脑感染勒索软件详细描述了在其博客。
“这真的很阴险,”前特勤局(Secret Service)特工、现为思科(Cisco)威胁研究与分析技术主管的列维·甘德尔特(Levi Gundert)上周五接受电话采访时说。
思科有一种产品叫做云计算网络安全(CWS)监控其客户的网络冲浪,并报告他们是否浏览到可疑的恶意域名。Gundert说,CWS每天监控数十亿的网页请求。
他说,公司注意到,它屏蔽了对90个域名的请求,其中许多是WordPress网站,超过17%的CWS客户。
进一步的调查显示,许多CWS用户在浏览了“apps.facebook.com”、“awkwardfamilyphotos.com”、“theguardian.co”等流量大的网站上的广告后,最终选择了这些域名。和迪士尼旗下的go.com等网站。
然而,出现在这些域名上的某些广告被篡改了。如果点击,它们会将受害者重定向到90个域名中的一个。
这种攻击方式被称为“眩晕”,长期以来一直是个问题。广告网络已采取措施,试图检测放置在其网络上的恶意广告,但安全检查并非万无一失。
偶尔也会有不良广告出现,这些广告会出现在与该网络或其附属网站签约的大量网站上。广告出现的网站往往没有意识到它们被滥用了。
“这表明,不良广告是一个真正的问题,”Gundert说。“人们希望当他们访问一级网站时,它是一个值得信任的地方,但因为有很多第三方外部链接,这不是真的。”
冈德特表示,被恶意广告推动流量的90个域名也遭到了黑客攻击。在WordPress网站的例子中,攻击者似乎使用了蛮力攻击——包括猜测登录凭证——来访问网站的控制面板。Gundert说,然后,一个名为Rig的攻击工具包被插入,攻击受害者的电脑。
该钻机开发工具包,首次发现于4月份Kahu安全,检查用户是否在运行未打补丁的Flash、Java或Silverlight多媒体程序。如果某人的电脑没有打补丁,“你会立即被利用,”Gundert说。
在攻击的下一阶段,会安装一个名为“Cryptowall”的勒索软件程序,它是臭名昭著的恶意软件Cryptolocker的亲戚。它对用户的文件进行加密,要求赎金。用户可以支付赎金的网站是一个隐藏的网站,使用的是该网站,这也表明了该行动的先进性洋葱路由器,或者TOR网络。
要浏览到TOR隐藏的网站,用户必须安装TOR, Cryptowall提供了如何安装的指导。那些延迟支付赎金的人发现,随着时间的推移,赎金会增加。
由于使用了TOR和技术复杂的攻击链,思科目前还无法确定攻击背后的组织。
Gundert说,可能有几个拥有不同技能的团体或人员正在合作,比如恶意广告、流量重定向、开发写作和勒索软件活动。
他说:“你可能会有一个威胁行动者把所有这些东西单独拼凑在一起,但在这个攻击链中有这么多不同的专长。”
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk