ios设备3亿浏览器会话被恶意劫持

研究人员表示，恶意攻击背后的主使者依然很活跃。

一场针对iOS设备的大规模恶意活动在短短48小时内劫持了高达3亿个浏览器会话。

Confiant的研究人员在11月12日记录了这次恶意活动，并说此次攻击背后的主使者至今仍然活跃。

有问题的网页

根据研究人员的说法，那些发动攻击的人通常将恶意代码注入合法的在线广告和网页，而当受害者点击这些被注入恶意代码的页面时，用户会被强制重定向到非法色情和诈骗广告页面。

Confiant的CTO Jerome Dangu在发布的分析报告中说道，“用户会被重定向到“你赢得了礼品卡”或色情内容的登陆页面。”

在这次攻击中，当用户访问有问题的网页时，其中的恶意广告将执行嵌入的恶意ja vasc ript。然后，受害者被重定向到一系列假冒的登陆页面，包括happy.hipstarclub[dot]com 或者 happy.luckstarclub[dot]com。研究人员说，这些登陆页面通常模仿成Google Play里的APP，使它们看起来更加合法。

Dangu告诉Threatpost，这些网页通常会试图获得受害者的行为数据，以便进行相关的营销欺诈，或者窃取个人身份信息，如电子邮件、地址、收入信息、购买意向等等。

“会话不需要用户交互就会被劫持，”Dangu说。“当给用户赢得1000美元的机会时，就会有人为之倾倒。”在基于这次攻击庞大的规模，攻击者的最终受益可以说非常可观。”

范围

如此疯狂的攻击并非罕见。在7月份，AdsTerra在线广告公司被卷入一场大型恶意活动，至少1万个网站受到影响。

Dangu告诉Threatpost，最近这个主要针对美国iOS用户的恶意攻击规模更胜以往。

尽管Confiant拦截了超过500万的点击，但据公司估计，在48小时内，产生了超过3亿的恶意推送。

和以前对比，2017年最大规模的恶意劫持活动是由Zirconium发动的，全年共有10亿个浏览器受影响。

Dangu表示，近60%的Confiant的客户都受到了这次攻击的影响，并且“如果你在（攻击流行的时段）用iPhone浏览你最喜欢的网站，那么你很有可能被该攻击所影响。”

如果对3亿受影响的浏览器会话适用保守的0.1%的攻击成功率，那么至少有30万受害者。

Dangu告诉Threatpost，“这些受害者中的每一个对攻击者来说都能产生几美元的利润。由于我们的检测表明攻击者花了20万美元来开展这次战役，我们有理由相信攻击者在两天内就赚到了100万美元。”

幕后主使

Dangu表示，虽然有数十个这种攻击组织，“但是根据他们能够部署的攻击规模，可以看出这是一个特别突出的组织。尽管我们至少从8月份开始就把持续的攻击活动归咎于这个主使者，但我们也不知道谁是幕后主使。”

Dangu表示其明确知道的是，这个主使者从8月份起就一直很活跃，但是和一些一线的恶意攻击者来说，活跃程度还是要低得多，而且交易活动不频繁。

研究人员观察到袭击者虽然以美国为主要目标，但在澳大利亚和新西兰等其他地区也有攻击痕迹。

研究人员表示，这个主使者仍然很活跃，只是在不断地转向不同的广告平台。

Dangu最后表示，“我们预计，在未来他们将继续利用广告平台来进行劫持攻击。”

原文链接：https://threatpost.com/widespread-malvertising-campaign-hijacks-300-million-sessions/139393/