当你读到这些文字时,合法网站上的恶意广告正在用恶意软件攻击访问者。但研究人员说,这种恶意软件不会感染他们的电脑。相反,它会导致不安全的路由器连接到欺诈域。
利用一种被称为隐写术的技术,广告将恶意代码隐藏在图像数据中。然后,隐藏的代码将目标重定向到承载dns变频器的网页,dns变频器是一种攻击工具,会感染正在运行未打补丁的固件或使用弱管理密码进行保护的路由器。一旦路由器被攻陷,dns变换器将其配置为使用攻击者控制的域名系统服务器。这导致网络上的大多数计算机访问欺骗性的服务器,而不是与它们的官方域相对应的服务器。
这些发现意义重大,因为它们清楚地表明,无处不在且常常被忽视的设备正在受到主动攻击,一旦受到攻击,这些设备就会影响网络上每台设备的安全,使它们面临进一步的攻击、弹出窗口、恶意广告等。因此,这类攻击的潜在足迹是很高的,潜在影响是显著的。
广告首先检查访客的IP地址是否在目标范围内,这是许多恶意广告活动的典型行为,目的是尽可能长时间不被发现。如果地址不是攻击者想要攻击的目标,他们就会提供一个没有攻击代码的诱饵广告。如果IP地址是攻击者想要感染的,他们就会提供一个假广告,在PNG图像的元数据中隐藏攻击代码。然后,该代码导致访问者连接到承载dns变频器的页面,该页面再次检查访问者的IP地址,以确保其在目标范围内。一旦检查通过,这个恶意网站就会提供第二张被路由器攻击代码隐藏的图片。
“这种攻击是由侦察阶段探测到的特定路由器模型决定的,”使用名为Kafeine的Proofpoint研究员在一篇博客文章中写道。“如果没有已知的漏洞,攻击将尝试使用默认凭证。”如果没有已知的攻击和默认密码,攻击将中止。
dns变换器使用一组称为webRTC的实时通信协议来发送VoIP通信中使用的所谓的STUN服务器请求。这个漏洞最终能够通过Chrome浏览器将Windows和Android的代码发送到网络路由器。然后,该攻击将被访问的路由器与166个已知易受攻击的路由器固件映像指纹进行比较。Proofpoint说,不可能列出所有易受攻击的路由器,但部分名单包括:
恶意广告通过合法的广告网络一次发送数天,并在合法的网站上显示。Proofpoint的惠勒说,目前还没有足够的数据来了解有多少人接触了这些广告,也不知道这项活动已经开展了多久,但他说,此前,该活动背后的攻击者要对每天袭击100多万人的恶意软件负责。在撰写这篇文章的时候,竞选活动仍然很活跃。Proofpoint没有确认任何发送或显示恶意广告的广告网络或网站。
DNS服务器将诸如arstechnica.com这样的域名转换成诸如50.31.151.33这样的IP地址,这些IP地址是需要计算机来查找和访问站点的。通过改变路由器设置来使用攻击者控制的服务器,dns变换器可以使大多数(如果不是全部的话)连接的计算机连接到冒名顶替者站点,这些站点看起来就像真实的站点一样。到目前为止,dns变频器使用的恶意DNS服务器似乎是伪造的IP地址,以分流来自大型广告机构的流量,支持名为Fogzy和traffic broker的广告网络。但是该服务器可以在任何时候进行更新,以伪造对Gmail.com、bankofamerica.com或任何其他网站的查找。幸运的是,在这种情况下,HTTPS保护将标记冒名顶替者。