在属于迪斯尼,Facebook的,卫报域恶意广告和其他人领导的人的恶意软件要到交出赎金支付的加密计算机的文件,思科系统公司发现的。
就在这一调查结果公布前不久,科技公司和美国执法部门联合开展了一项大规模行动关掉僵尸网络散布网上银行恶意软件和所谓的“勒索软件”,这是一种高利润的骗局,去年激增。
思科的调查揭示了一种技术复杂且非常有效的方式,可以让大量电脑感染勒索软件详细描述了在其博客。
“这真的很阴险,”前特勤局(Secret Service)特工、现为思科(Cisco)威胁研究与分析技术主管的列维·甘德尔特(Levi Gundert)上周五接受电话采访时说。
思科有一种产品叫做云Web安全(CWS)监控其客户的网络冲浪,并报告他们是否浏览到可疑的恶意域名。Gundert说,CWS每天监控数十亿的网页请求。
该公司发现,它阻止请求90个域,许多这些WordPress网站的,其CWS的客户超过17%,他说。
进一步的调查显示,许多CWS用户在浏览了“apps.facebook.com”、“awkwardfamilyphotos.com”、“theguardian.co”等流量大的网站上的广告后,最终选择了这些域名。和迪士尼旗下的go.com等网站。
然而,出现在这些域名上的某些广告被篡改了。如果点击,它们会将受害者重定向到90个域名中的一个。
这种攻击方式被称为“眩晕”,长期以来一直是个问题。广告网络已采取措施,试图检测放置在其网络上的恶意广告,但安全检查并非万无一失。
偶尔也会有不良广告出现,这些广告会出现在与该网络或其附属网站签约的大量网站上。广告出现的网站往往没有意识到它们被滥用了。
“这表明,不良广告是一个真正的问题,”Gundert说。“人们希望当他们访问一级网站时,它是一个值得信任的地方,但因为有很多第三方外部链接,这不是真的。”
冈德特表示,被恶意广告推动流量的90个域名也遭到了黑客攻击。在WordPress网站的例子中,攻击者似乎使用了蛮力攻击——包括猜测登录凭证——来访问网站的控制面板。Gundert说,然后,一个名为Rig的攻击工具包被插入,攻击受害者的电脑。
该钻机开发工具包,首次发现于4月份Kahu安全,检查用户是否在运行未打补丁的Flash、Java或Silverlight多媒体程序。如果某人的电脑没有打补丁,“你会立即被利用,”Gundert说。
在进攻中,一个叫勒索节目“Cryptowall,”臭名昭著的恶意软件Cryptolocker的相对的下一阶段,安装。它加密用户的文件,要求赎金。在操作的复杂性的另一个迹象,网站,用户可以在支付赎金是一个隐藏的网站使用洋葱路由器,或者TOR网络。
导航到TOR隐藏网站,用户必须安装TOR,这Cryptowall帮忙,提供了有关如何安装说明。这些谁拖延支付赎金发现它随着时间的推移。
由于使用了TOR和技术复杂的攻击链,思科目前还无法确定攻击背后的组织。
Gundert说,可能有几个拥有不同技能的团体或人员正在合作,比如恶意广告、流量重定向、开发写作和勒索软件活动。
他说:“你可能会有一个威胁行动者把所有这些东西单独拼凑在一起,但在这个攻击链中有这么多不同的专长。”
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk