本月,一场针对iOS设备的大规模恶意攻击活动在短短48小时内劫持了多达3亿次的浏览器会话。Confiant的研究人员于11月12日观察到了此次攻击,并在对其跟踪后表示此项活动背后的威胁行为者至今仍然活跃。
恶意页面
据研究人员称,恶意广告背后的威胁行为者通常会将恶意代码注入合法的在线广告和网页,当受害者点击这些网页时,会被强制重定向到恶意网页――最常见的就是成人内容或是礼品卡诈骗网站。这些登录页面通常模仿谷歌Play应用程序,使其看上去更合法。接着就会开始诱导访问者给出自己的信息,如电子邮件,地址,收入信息,购买意图,等等,以实施联盟营销相关的欺诈或窃取个人身份数据。
Confiant首席技术官Jerome Dangu表示:
在没有用户交互的情况下网页会话就能被劫持。当用户看到自己有机会赢得1000美元时,就会有一些人上当受骗。考虑到波及范围之广,哪怕用户上当的概率很小,对攻击者而言也是非常有利可图的。
更大的规模恶意广告活动并不少见。早在今年7月,在线广告公司AdsTerra就被攻击者利用,在超过1万个被入侵网站上展开恶意营销活动。而最近的这起攻击主要针对的是美国的iOS用户,因其规模之大而备受瞩目。
虽然Confiant已阻止了500多万次点击,但该公司估算,在48小时内,向用户投放的总展示次数已超过3亿次。而在2017年,由威胁行为者Zirconium发起的最大规模的恶意广告活动在去年整整一年里也仅仅劫持了10亿次会话。
Dangu表示:
近60%的Confiant客户受到了此次攻击的影响。如果对3亿受影响的浏览器会话保守估计0.1%转换率,也意味着至少有30万受害者。每个受害者对攻击者来说都值好几美元。遥测数据显示,攻击者花费了大概20万美元来开展这一活动。我们猜测,攻击者在两天内就赚到了100万美元。
攻击背后
Dangu表示,他们已知的、执行此类攻击的组织就有几十个,但当前还没有办法判定究竟是谁所为。从今年8月份开始,Confiant就注意到了该攻击者的动向,但当时其攻击范围还很小,因此对其也未能有更进一步的了解。
研究人员观察到,攻击者的目标不光在美国,也在澳大利亚新西兰等地。并且,该行为者当前仍然活跃,一直在不断的调整广告的分发。预计在未来一段时间,他都将继续利用程序化广告平台来维持运营。
