Trustwave安全专家近日发现一个原本用于恶意广告目的的僵尸网络,将毫不知情的用户重定向至视频网站DailyMotion观看某些亲俄罗斯视频。
包含政治动机的安全事件
安全研究人员认为,此次攻击背后的政治动机让这次安全事件非常有趣:
“最近我们发现一个网络犯罪分子组织通过人为增加视频观看次数以及在流行视频网站上提高排名的方式传播亲俄罗斯信息。我们不能确定欺诈性视频宣传的幕后黑手是谁,但似乎是受到政治因素的推动。”
这次安全事件不同寻常。这是Trustwave首次看到该技巧被以通过增加观看次数的方式,宣传看似是政治议程的视频剪辑。
恶意广告活动背后的威胁发动者使用Angler渗透测试工具包通过近期曾攻击了成人网站xHamster的Bedep木马感染受害者。安全专家指出,受害者在访问含有Angler渗透代码工具包的旅游网站后受到感染。
一些计算机也被重新定向至含有其他渗透工具包如Neutrino及Magnitude的域名,以此执行更多恶意代码。受感染的机器被强制浏览站点以生成广告收益,同时访问多个亲俄罗斯视频。
通过恶意广告活动宣传的视频之一与俄罗斯在克里米亚争端问题上的立场有关,而其他视频与俄罗斯政治及军事问题相关。这种技巧允许恶意作者为每个视频收集32万次左右的浏览量。
Bedep恶意软件的选择并非偶然。恶意攻击者利用Bedep的能力利用受感染计算机上的隐藏虚拟桌面并运行丰富的IE实例,这样受害者就永远不会注意到对包含广告的宣传视频及网站的访问。
研究人员指出,“广告欺诈的目标是生成访问广告的虚假流量,并根据网络流量获得报酬。很显然,更多被攻陷的计算机会让更多的流量定向至广告,从而为欺诈者带来更多的收益。通常为广告浏览者付费的一方将通过执行有效性检查来过滤出无效的广告效果。”
研究人员同时发现,恶意广告活动背后的威胁发动者正在将来自受感染机器的流量出售给其他网络组织,而后者会将这些流量重定向至被攻陷的网站。
在本文写作期间,这些视频已从DailyMotion网站删除。