【資安關鍵字：惡意廣告｜Malvertising】以線上廣告作為誘餌，散播惡意軟體

網路釣魚手法不斷有新變化，電子郵件雖然還是典型的釣魚媒介，但也出現越來越多網釣攻擊的管道。隨著網路的普及化，線上廣告對於商業世界來說，是很重要的宣傳模式，卻也不小心被攻擊者盯上，成了攻擊的媒介，便出現了以廣告作為散播惡意軟體的方法，而且在近年更是有多起事件發生。

這樣的攻擊模式，被稱為惡意廣告（Malvertising），其實是由Malicious advertisement轉變而來的一個通稱。廣義而言，就是一種透過廣告來達成惡意攻擊的手法，而以狹義而言，會因不同的攻擊策略而有不同的定位。但主要的目的，都是希望不被受害者察覺異狀，進而能夠散播惡意軟體。

例如，在2009年，紐約時報的網站曾出現惡意廣告，在讀者瀏覽新聞頁面時，會彈出病毒警告，宣稱讀者的電腦已受感染，誘使受害者下載廣告的安全軟體，然而，紐約時報在當時表示，那些合法廣告，被轉換成病毒警報的惡意廣告，是與自第三方合作的全國性廣告供應商有關。

而同樣與第三方廣告平臺有關的例子，還有Spotify在2011年發生的事件，Spotify免費版的用戶，在無須點擊廣告下，透過偷渡式下載的方式，將惡意軟體安裝在用戶的Windows電腦。而當時有資安人員發現，攻擊者是利用Blackhole Exploit Kit工具來進行攻擊，甚至Spotify在背景播放時，也會進行感染。而Spotify在2016年又傳出一次類似的事件，連MacOS與Linux作業系統的用戶也受害。上述這些事件中，會發現問題多出於第三方廣告平臺，或許這也代表著其審查機制有問題。可惜，在這些事件中未提及真正原因。反而，資安人員有提到因為有電腦漏洞，進而導致惡意軟體更容易被植入受害者電腦。

此外，惡意廣告在近年來，還結合重新導向惡意網站的攻擊事件，也是透過合法平臺滲透至受害者電腦。例如，在2015年，曾發生雅虎的廣告網路（ads.yahoo.com）被入侵，受害者在點擊廣告後，會被重新導向攻擊者利用攻擊套件產生的惡意網站。

而在近期，也出現了類似事件，攻擊者先以合法版本的行動App在Google Play商店中上架後，再置換成惡意版本，在受害者更新版本後，進而感染。由此可知，利用惡意廣告的攻擊不計其數，未來可能還會有更多的新興手法產生