新的恶意软件框架使用浏览器扩展来处理广告欺诈

 
研究人员发现了一个新的高度多产的恶意软件框架，该框架由其创建者用于在短短三个月的时间内产生超过10亿的欺诈性广告印象。
攻击者利用该框架作为三种不同广告欺诈技术的一部分，借助恶意的浏览器扩展来增加他们的Google AdSense收入，这种扩展会毫无疑问地产生AdSense展示，同时还会悄悄地观看Twitch流并在背景。
“该框架旨在填补社交网站和广告展示的统计数据，为使用僵尸网络通过传播恶意软件和目标浏览器(包括Google Chrome，Mozilla Firefox和Yandex浏览器)攻击内容和广告平台的运营商创造收入， “找到了发现广告欺诈框架的Flashpoint研究人员。
恶意扩展部署
受害者的网络浏览器使用多阶段方法感染，从“安装程序”模块开始，该模块将设置和配置恶意浏览器加载项，并使用计划任务在目标计算机上实现持久性。
在下一阶段，另一个名为“Finder”的框架模块将开始收集受害者的浏览器cookie和凭据，将其作为ZIP存档发送到其主人的命令和控制基础设施。
这个模块还将与辅助C2服务器通信，辅助C2服务器将发送频率以用于从受感染的Web浏览器收集和exfiltratra数据。
第三个恶意软件框架模块被称为“Patcher”的攻击者用于通过早期版本的广告欺诈框架安装恶意浏览器扩展，最新版本将其与安装程序模块捆绑在一起。
“扩展基本上是为了将脚本注入网页，然后根据页面处理更多功能，”Flashpoint说。
恶意广告欺诈框架功能
通过安装框架的扩展程序成功破坏浏览器后，它将立即开始生成网络流量并在其受害者访问的网站中注入广告。
其运营商还使用恶意加载项注入多个脚本变体，旨在搜索和替换网页上的广告相关代码，以及向其C2服务器报告广告点击和各种其他类型的数据。
但是，该框架还将确保它不会混淆谷歌域名，以及几个色情和俄罗斯网站，检查内置的黑名单，以避免注入脚本和广告以逃避检测。
围绕此欺诈性AdSense广告系列的恶意活动主要针对少数几个国家/地区，其中俄罗斯，乌克兰和哈萨克斯坦是最突出的例子。
使用这个以广告欺诈为重点的恶意软件框架创建的僵尸网络的后端使用一个庞大的数据库，该数据库将机器人发送的数据循环到C2基础设施，摆脱旧的 – 可能不再有用 – 收集的数据，为更新鲜的空间腾出空间饼干和新被盗的凭据。
“数据在被擦除或重置之前存储了几个月。建立了许多观点，围绕机器人及其活动生成统计数据，”Flashpoint的研究人员发现。
Flashpoint研究团队提供CSV和MISP JSON格式的妥协指标(IOC)的完整列表，包括针对1400多种恶意软件样本的SHA256哈希，以及AdSense欺诈活动中使用的八个域以及旨在检测的Snort规则相关恶意活动。
1月份，当用户解锁设备或每15/30时，发现在Google Play商店中发现的两套假冒Android应用程序[1,2]超过1700万次安装，其用户的设备充斥着高度侵入性的全屏广告分钟。
这些应用程序使用不同的代码签名证书签名并以不同的开发者名称发布，也隐藏在不允许受害者在受感染的Android设备上以编程方式显示广告时卸载它们的视图中。
从2018年12月开始，另一项移动点击欺诈活动利用了22个Android应用程序，诱骗广告客户向Apple运营商支付更高的广告价格，该广告价格是在Apple的iPhone 5至8 Plus设备上展示广告。