数字广告生态系统已成为网络犯罪分子的主要猎场,他们正越来越多地利用广告技术公司来分发恶意软件并开展恶意活动。
威胁行为者不再仅仅滥用合法平台,而是开始自己扮演平台的角色,构建起一个复杂的欺骗网络。他们利用广告技术供应链固有的复杂性和碎片化特点来逃避责任。
最近的调查揭露了一个涉及“Vane Viper”的大规模行动,这是一个威胁行为体,出现在安全研究人员监控的约一半客户网络中,在过去一年里生成了大约一万亿次DNS查询。
这项操作得益于全球范围内数十万个已被入侵的网站,以及在游戏、购物和博客网站上战略性投放的广告。
该攻击者的基础设施覆盖了约60,000个域名,这仅占他们所控制的更广泛恶意生态系统的一小部分。
这场活动的精妙之处在于其精心构建的公司结构,该结构旨在为合理推诿提供便利。
企业文件显示,Vane Viper 可追溯至 AdTech Holding,这是一家总部位于塞浦路斯的公司,其旗舰子公司 PropellerAds 既是广告网络,也是流量中间商。
Infoblox的研究人员发现了令人信服的证据,表明PropellerAds不仅仅是对其平台被用于犯罪活动视而不见,有迹象显示,数起广告欺诈活动直接源自该公司旗下的基础设施。
这种恶意广告活动采用了复杂的流量分配系统(TDS),该系统会在投放恶意有效载荷前,通过多层重定向引导用户。
这种方法使得攻击者能够向自动化安全工具提供合法内容,同时将人类用户引导至恶意目的地。
该活动的影响范围超出了传统的恶意软件分发,涵盖了虚假购物网站、欺诈性浏览器扩展、调查诈骗以及旨在从受损流量中实现利润最大化的成人内容。
推送通知持久化机制
Vane Viper 运营活动中最隐蔽的方面是滥用浏览器推送通知,以持续获取对受害者设备的访问权限。
该活动利用恶意服务工作线程(即拦截Web应用程序与服务器之间网络请求的JavaScript文件)来操纵浏览器行为,并维持对受感染系统的长期访问。
这些服务工作线程利用脚本链技术滥用推送通知,其中最令人担忧的是它们使用eval()函数来执行从远程URL获取的任意内容。
远程URL由服务工作线程中硬编码的域名决定,这创建了一种能够适应不断变化的操作需求的动态命令和控制机制。
一旦用户接受推送通知,他们的设备就会成为一个持久性恶意广告网络的一部分,从而不断接收恶意广告。
该操作通过其域名管理策略展现出显著的韧性,每月循环使用数千个新注册的域名,同时将关键的推送通知域名保留多年。
分析显示,大多数运营域名的活跃时间不到一个月,在峰值月份,注册量达到3500个域名。而核心基础设施域名,如omnatuor.com、propeller-tracking.com,以及包括in-page-push.com和pushimg.com在内的各种推送通知服务,已维持运营超过1200天,尽管遭遇多次下架尝试,仍确保了运营的连续性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
