网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

简介: 本文讲的是网页上的污染源:“PM2.5报告”插件实为恶意广告注射器,网站通过投放广告来获得收入,这本无可厚非。但是大家有没有想过,这些页面广告真的都是网站自己投放的么?其实并不一定,360互联网安全中心近日就发现了这样一款恶意软件,它会向用户正常访问的网页中插入各种低俗甚至是欺诈类的广告。
本文讲的是 网页上的污染源:“PM2.5报告”插件实为恶意广告注射器网站通过投放广告来获得收入,这本无可厚非。但是大家有没有想过,这些页面广告真的都是网站自己投放的么?其实并不一定,360互联网安全中心近日就发现了这样一款恶意软件,它会向用户正常访问的网页中插入各种低俗甚至是欺诈类的广告。

该恶意软件主体会伪装成“PM2.5报告”程序,被安装后静默向Chrome内核浏览器安装扩展、向IE浏览器安装BHO插件进而插入广告。相较于我们在2015年发布的分析报告《“国产”广告注射器分析:以比价名义强插各大网站》中所提及的恶意软件,该软件可谓有过之而无不及。

“PM2.5报告”恶意程序流程简图:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图1

软件主体

该软件的主体安装程序会主动检测当前运行环境,若检测到自身正被调试,则主动结束进程。

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图2

BHO插件

BHO(Browser Helper Object),即浏览器辅助对象,是作为IE浏览器的插件被使用的。而恶意软件主体程序被安装后,便会同时向IE浏览器中插入一个名为“Cyynb Breath”的BHO插件:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图3

该插件会云控获取的配置文件skin2.zip(GifBag.edb、PngBag.edb),可以看到其对哪些网站进行注入广告都由云端规则控制

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图4(1)

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图4

之后读取GifBag.edb、PngBag.edb两个文件的内容:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图5

其中PngBag.edb为该插件在插入广告时要避开的网站或ID,内容如下:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图6

而GifBag.edb文件中则是用于插广告的代码:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图7

GifBag.edb中含带有需要插广告网站的完整列表,如下:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图8

Chrome浏览器扩展

软件主体一旦发现Chrome浏览器(或使用Chrome内核的相关浏览器),则释放crx程序(ChRome eXtension,即Chrome浏览器扩展程序):

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图9

图标如下:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图10

该扩展会修改用户打开的页面内容,向页面中插入其广告js代码:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图11

通过查看被插入的js脚本,同样可以看到其广告推广行为同BHO插件一样,也是针对特定网站的。而通过插入云端js脚本来控制用户网页浏览的优点也很明显:一方面云端脚本的内容方便随时修改,使用起来比较灵活;另一方面对于普通用户来说基本毫无感知,难以察觉。

被插入广告网站列表中囊括了网易、QQ空间、凤凰网、搜狐等36个网站的所有包含.htm、.asp、.shtm后缀的网页页面。

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图12

而类似的,该广告脚本也含有一个白名单列表,即遇到以下这些网站,广告脚本是不工作的。其中包括各类政府网站、淘宝网、人民网、12306、百度等。

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图13

插入广告相关代码还通过设置/读取Cookie的方式,实现同一网站30分钟内再次打开不再出现广告。

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图14

并且其中还含有对广告展示的数量统计:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图15

浏览器被插入广告实测效果

网易(Chrome内核浏览器):

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图16

新浪网(Chrome内核浏览器):

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图17

网易(IE浏览器)

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图18

腾讯网(IE浏览器):

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图19

唯品会(IE浏览器):

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图20

58同城(IE浏览器):

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图21

我们随手点开其中的一些广告,弹出的都是类似这中诈骗或博彩的内容:

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图22

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图23

传播情况

通过对该恶意的监控,该程序主要通过某知名在线视频软件的升级捆绑安装,以及外挂辅助程序的捆绑推广,累积有近百万用户被安装该恶意程序。

网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

图24

对于此类广告注入行为,普通用户基本毫无感知。由于这些程序会隐藏于浏览器和网站之间,悄悄的修改网站代码,导致用户难以识别广告的真实性。往往是用户在访问正规官网时看见页面展示此类广告,很可能将其误认为是来自于官网推荐,因此对广告的安全性不加怀疑。而此类广告极有可能会将用户诱导向钓鱼网站或存在风险的网站,使用户遭受账号隐私泄露及财产损失的风险。







原文发布时间为:2017年9月18日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。.
原文链接
目录
相关文章
|
9月前
|
JavaScript 前端开发 网络安全
【网络安全 | 信息收集】JS文件信息收集工具LinkFinder安装使用教程
【网络安全 | 信息收集】JS文件信息收集工具LinkFinder安装使用教程
487 4
|
安全
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
1966 0
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
|
安全
致远OA wpsAssistServlet 任意文件上传漏洞 漏洞复现
致远OA wpsAssistServlet 任意文件上传漏洞 漏洞复现
1976 0
|
存储 Web App开发 编解码
点击劫持漏洞的学习及利用之自己制作页面过程(二)
点击劫持漏洞的学习及利用之自己制作页面过程
323 1
|
Web App开发 安全 前端开发
点击劫持漏洞的学习及利用之自己制作页面过程(一)
点击劫持漏洞的学习及利用之自己制作页面过程
535 1
|
安全
致远OA ajax.do 任意文件上传 (CNVD-2021-01627) 漏洞复现
致远OA ajax.do 任意文件上传 (CNVD-2021-01627) 漏洞复现
1805 0
|
SQL 缓存 搜索推荐
2022渗透测试-浏览器搜索技巧-信息收集之Google Hacking的使用
2022渗透测试-浏览器搜索技巧-信息收集之Google Hacking的使用
2022渗透测试-浏览器搜索技巧-信息收集之Google Hacking的使用
|
安全 JavaScript 前端开发
APP渗透测试 头像上传漏洞检测与修复
多客户网站以及APP在上线运营之前都会对网站进行渗透测试,提前检测网站是否存在漏洞,以及安全隐患,避免因为网站出现漏洞而导致重大的经济损失,客户找到我们SINE安全做渗透测试服务的时候,我们都会对文件上传功能进行全面的安全测试,包括文件上传是否可以绕过文件格式,上传一些脚本文件像php,jsp,war,aspx等等,绕过上传目录,直接上传到根目录下等等的一些漏洞检测。
414 0
APP渗透测试 头像上传漏洞检测与修复
|
安全 Java 网络安全
APP渗透测试 对文件上传功能的安全检测与webshell分析
前段时间我们收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,IOS端都采用的JSP+oracle数据库架构开发,前端使用VUE,服务器是linux centos系统.
1951 0
|
安全 云安全 网络安全
威胁预警|Solr velocity模板注入远程命令执行已加入watchbog武器库,漏洞修补时间窗口越来越短
当新的漏洞被披露出来时,可供企业用户修复的时间窗口越来越短,因此防守方需要及时地关注新披露可利用漏洞,以及采取缓解措施或进行修复,必要时可考虑选用安全产品帮助保障安全。
3915 0

热门文章

最新文章