使用过微软旗下即时通讯工具Skype的网友可能知道,该软件的右侧主模块会嵌入部分必应提供的在线广告。
网站和软件依靠投放广告获得收入无可厚非,不过如果广告模块里出现恶意内容如病毒和诈骗等就不应该了。
例如最近就有用户发现Skype广告里竟然出现了山寨的Adobe Flash Player网站诱导用户下载可执行文件等。
该用户称这个山寨的Flash Player要求用户下载格式为hta的文件,该文件本身属于HTML网页因此是无毒的。
(诱导用户下载含有恶意代码的网页)
但是这个网页里嵌入了攻击者制作的恶意代码,若用户打开该文件则会自动从远程服务器下载其他恶意软件。
攻击者实际上在这个广告里花费了不少心思,这个山寨网页会先识别请求的UA按据UA标识返回不同的内容。
这种做法实际上是为了规避广告平台和研究人员的调查,因为直接访问山寨网站的话其返回的为正常的内容。
针对该问题微软发言人称该公司对恶意内容不负责任,原因在于使用社工技术可将用户引导到恶意网站中去。
同时微软建议用户在打开已知和未知来源的内容时必须检查其安全性,因此需要安装反病毒软件并及时更新。
(百度推广里也出现过这类诈骗网站,在审核通过后跳转到恶意网站)
实际上这个问题对于所有广告平台来说都是大问题,因为广告在经过合规化检查后即可将其跳转到恶意网站。
广告平台无法无时无刻去检测投放者的网页内容,即使禁止跳转攻击者也可以使用iframe框架嵌入恶意网站。
在此前的某黑产团队利用广告平台的审核漏洞配合运营商劫持诸如英雄联盟、搜狗输入法等流行软件的通讯。(此事件请点击阅读原文按钮)
成功将含有恶意代码的网页投放到运营商劫持系统后,用户打开上述软件就可能会加载这个恶意网站的代码。
这个恶意代码是针对 Adobe Flash Player 的零日漏洞,因此用户在毫无知觉的情况下直接安装了木马病毒。
从结果上看这个黑产团队无疑是非常成功的,在被发现之前其服务器的总请求量过千万次、有大量用户中招。
对于用户而言必须使用反病毒软件并不要轻信任何来历不明的软件,同时也必须及时安装更新Flash确保安全。