【安全资讯】Malsmoke攻击活动植入漏洞利用代码到色情网站达到攻击浏览者

在过去的几个月里，有威胁组织一直在攻击成人网站。该组织在成人主题网站上发布恶意广告，以达到重定向用户来利用工具包并分发恶意软件的目的。这系列活动称为Malsmoke攻击活动。

研究人员观察到第一个恶意广告商能够通过定位运行Internet Explorer的用户，来瞄准许多成人网站竞标广告，他们不受任何特定的地理位置限制，大多数受害者在美国。

<lock v:ext="edit" aspectratio="t">
</lock>

图1：按国家划分的受害人在左侧，成人网站的访问量在右侧

恶意广告使用JavaScript代码，将用户从色情网站重定向到利用CVE-2019-0752（Internet Explorer）和 CVE-2018-15982（Flash Player）问题的漏洞攻击工具包的恶意网站 。

重定向机制比其他恶意广告活动中使用的机制更复杂。有一些客户端指纹和连通性检查可以避免VPN和代理，仅针对合法IP地址。 

  美国安全公司Malwarebytes 表示，Malàsmoke的攻击可能是今年以来最持久的恶意广告活动。与其他攻击者不同，该组织可以快速切换广告网络以保持业务不中断。 

  用户在利用易受攻击的浏览器访问恶意网站后，漏洞利用工具包会发送恶意软件，例如 Smoke Loader， Raccoon Stealer和 ZLoader。 

图4：与Malsmoke有关的恶意广告活动

近年来，由于浏览器安全性的提高，利用漏洞利用工具包的攻击已经有所下降。不过，专家指出，重定向机制比其他恶意广告活动中使用的机制更复杂。攻击者实施了一些客户端指纹识别和连接检查，以避免使用虚拟专用网和代理。这样，他们就可以仅将合法IP地址作为目标。