圖片來源: 

Imperva.

網路釣魚手法不斷有新變化,電子郵件雖然還是典型的釣魚媒介,但也出現越來越多網釣攻擊的管道。隨著網路的普及化,線上廣告對於商業世界來說,是很重要的宣傳模式,卻也不小心被攻擊者盯上,成了攻擊的媒介,便出現了以廣告作為散播惡意軟體的方法,而且在近年更是有多起事件發生。

這樣的攻擊模式,被稱為惡意廣告(Malvertising),其實是由Malicious advertisement轉變而來的一個通稱。廣義而言,就是一種透過廣告來達成惡意攻擊的手法,而以狹義而言,會因不同的攻擊策略而有不同的定位。但主要的目的,都是希望不被受害者察覺異狀,進而能夠散播惡意軟體。

例如,在2009年,紐約時報的網站曾出現惡意廣告,在讀者瀏覽新聞頁面時,會彈出病毒警告,宣稱讀者的電腦已受感染,誘使受害者下載廣告的安全軟體,然而,紐約時報在當時表示,那些合法廣告,被轉換成病毒警報的惡意廣告,是與自第三方合作的全國性廣告供應商有關。

而同樣與第三方廣告平臺有關的例子,還有Spotify在2011年發生的事件,Spotify免費版的用戶,在無須點擊廣告下,透過偷渡式下載的方式,將惡意軟體安裝在用戶的Windows電腦。而當時有資安人員發現,攻擊者是利用Blackhole Exploit Kit工具來進行攻擊,甚至Spotify在背景播放時,也會進行感染。而Spotify在2016年又傳出一次類似的事件,連MacOS與Linux作業系統的用戶也受害。上述這些事件中,會發現問題多出於第三方廣告平臺,或許這也代表著其審查機制有問題。可惜,在這些事件中未提及真正原因。反而,資安人員有提到因為有電腦漏洞,進而導致惡意軟體更容易被植入受害者電腦。

此外,惡意廣告在近年來,還結合重新導向惡意網站的攻擊事件,也是透過合法平臺滲透至受害者電腦。例如,在2015年,曾發生雅虎的廣告網路(ads.yahoo.com)被入侵,受害者在點擊廣告後,會被重新導向攻擊者利用攻擊套件產生的惡意網站。

而在近期,也出現了類似事件,攻擊者先以合法版本的行動App在Google Play商店中上架後,再置換成惡意版本,在受害者更新版本後,進而感染。由此可知,利用惡意廣告的攻擊不計其數,未來可能還會有更多的新興手法產生

 


熱門新聞

Advertisement