过去两个月访问主流网站的用户遭到了一种新形式的恶意广告攻击，其攻击代码嵌入在横幅广告的单个像素内。

杀毒软件开发商Eset的研究人员借用了隐写术（steganography）的名字将这一攻击行动命名为“Stegano”，据悉该攻击行动可以追溯到2014年。但是从今年十月初开始，攻击者开始改变套路将恶意代码隐藏在知名的新闻网站中，这些网站每天都有数百万的浏览量。

攻击者将恶意脚本隐藏在横幅广告中，这些恶意代码改变了广告图片的颜色，但是未经训练的人几乎是辨别不出区别的。

【左边：干净的图片；中间：具有恶意代码的图片；右边：增强的恶意版本画面；】

恶意脚本隐藏在定义像素透明度的阿尔法通道（Alpha Channel）内，即使对于目光敏锐的广告网络也很难检测得出异常。在检测目标浏览器不是运行在虚拟机或与其它安全软件相关联之后，脚本会将浏览器定向到一个网站，利用已修复的三个Adobe Flash漏洞（CVE-2015-8651、CVE-2016-1019 和 CVE-2016-4117）入侵用户计算机。

关于三个Adobe Flash漏洞

CVE-2015-8651是对domain memory执行相关操作的opcode在执行过程中没有很好的对访问地址的范围进行判断从而导致整数溢出漏洞。2016年年初，境外Darkhotel APT攻击团伙曾利用该漏洞针对中国境内企业发起APT攻击。

CVE-2016-1019是今年4月研究人员在Magnitude工具包中发现的一个Adobe Flash Player漏洞，该漏洞可以造成最新版本的Flash Player远程代码执行。

CVE-2016-4117是今年5月由国外研究人员发现，漏洞等级为高危漏洞，在CVSS Score中被评为10.0，它同时影响Windows，Mac OS X，Linux和Chrome OS等，最终可能导致远程代码执行。

隐藏在像素中的脚本利用了一个已修复的IE漏洞CVE-2016-0162去获取访问者计算机的细节信息。它还会检查是否存在数据包捕获、沙盒、虚拟机软件和其它安全软件。尽管Stegano只攻击使用IE和Flash的用户，但它隐藏横幅广告像素的方法可能会被其他攻击者借用。

Eset发布的报告显示，受感染的广告网络影响的国家主要包括加拿大、英国、澳大利亚、西班牙和意大利等。2014年到2015年，在Stegano运动的早期，攻击目标主要是荷兰和捷克共和国的公民。

AdGholas攻击活动

更新：为了执行隐藏载荷，恶意广告中加载了一个重度修改的Countly版本—用于测量网络流量的开源方案，随后该JavaScript就会提取图像中的隐藏代码并进行执行命令。因为在JavaScript本身不存在任何恶意代码，所以广告网络无法检测到任何异常。

目前，来自Eset竞争对手Malwarebytes公司的安全研究人员已经发表了关于该攻击行动的详细记录，他们称该攻击活动为“AdGholas”。

尽管目前Stegano只攻击使用IE和未打补丁版Flash的用户，但它隐藏横幅广告像素的方法可能会被其他攻击者借用。未来的攻击活动，或者那些未被检测出的

正在进行中活动很可能利用零日漏洞造成更大范围的危害。只有广告网络能够更好地检测这些恶意行为，灾难才不至继续蔓延。