导语:网页上的污染源:“PM2.5报告”插件实为恶意广告注射器 网站通过投放广告来获得收入,这本无可厚非。但是大家有没有想过,这些页面广告真的都是网站自己投放的么?

网站通过投放广告来获得收入,这本无可厚非。但是大家有没有想过,这些页面广告真的都是网站自己投放的么?其实并不一定,360互联网安全中心近日就发现了这样一款恶意软件,它会向用户正常访问的网页中插入各种低俗甚至是欺诈类的广告。

该恶意软件主体会伪装成“PM2.5报告”程序,被安装后静默向Chrome内核浏览器安装扩展、向IE浏览器安装BHO插件进而插入广告。相较于我们在2015年发布的分析报告《“国产”广告注射器分析:以比价名义强插各大网站》中所提及的恶意软件,该软件可谓有过之而无不及。

“PM2.5报告”恶意程序流程简图:

1505704683199926.png

图1

软件主体

该软件的主体安装程序会主动检测当前运行环境,若检测到自身正被调试,则主动结束进程。

2.png

图2

BHO插件

BHO(Browser Helper Object),即浏览器辅助对象,是作为IE浏览器的插件被使用的。而恶意软件主体程序被安装后,便会同时向IE浏览器中插入一个名为“Cyynb Breath”的BHO插件:

3.png

图3

该插件会云控获取的配置文件skin2.zip(GifBag.edb、PngBag.edb),可以看到其对哪些网站进行注入广告都由云端规则控制

4(1).png

图4(1)

4.png

图4

之后读取GifBag.edb、PngBag.edb两个文件的内容:

1505704720979261.png

图5

其中PngBag.edb为该插件在插入广告时要避开的网站或ID,内容如下:

6.png

图6

而GifBag.edb文件中则是用于插广告的代码:

7.png

图7

GifBag.edb中含带有需要插广告网站的完整列表,如下:

8.png

图8

Chrome浏览器扩展

软件主体一旦发现Chrome浏览器(或使用Chrome内核的相关浏览器),则释放crx程序(ChRome eXtension,即Chrome浏览器扩展程序):

9.png

图9

图标如下:

10.png

图10

该扩展会修改用户打开的页面内容,向页面中插入其广告js代码:

11.png

图11

通过查看被插入的js脚本,同样可以看到其广告推广行为同BHO插件一样,也是针对特定网站的。而通过插入云端js脚本来控制用户网页浏览的优点也很明显:一方面云端脚本的内容方便随时修改,使用起来比较灵活;另一方面对于普通用户来说基本毫无感知,难以察觉。

被插入广告网站列表中囊括了网易、QQ空间、凤凰网、搜狐等36个网站的所有包含.htm、.asp、.shtm后缀的网页页面。

12.png

图12

而类似的,该广告脚本也含有一个白名单列表,即遇到以下这些网站,广告脚本是不工作的。其中包括各类政府网站、淘宝网、人民网、12306、百度等。

13.png

图13

插入广告相关代码还通过设置/读取Cookie的方式,实现同一网站30分钟内再次打开不再出现广告。

14.png

图14

并且其中还含有对广告展示的数量统计:

15.png

图15

浏览器被插入广告实测效果

网易(Chrome内核浏览器):

16.png

图16

新浪网(Chrome内核浏览器):

17.png

图17

网易(IE浏览器)

18.png

图18

腾讯网(IE浏览器):

19.png

图19

唯品会(IE浏览器):

20.png

图20

58同城(IE浏览器):

21.png

图21

我们随手点开其中的一些广告,弹出的都是类似这中诈骗或博彩的内容:

22.png

图22

23.png

图23

传播情况

通过对该恶意的监控,该程序主要通过某知名在线视频软件的升级捆绑安装,以及外挂辅助程序的捆绑推广,累积有近百万用户被安装该恶意程序。

24.jpg

图24

对于此类广告注入行为,普通用户基本毫无感知。由于这些程序会隐藏于浏览器和网站之间,悄悄的修改网站代码,导致用户难以识别广告的真实性。往往是用户在访问正规官网时看见页面展示此类广告,很可能将其误认为是来自于官网推荐,因此对广告的安全性不加怀疑。而此类广告极有可能会将用户诱导向钓鱼网站或存在风险的网站,使用户遭受账号隐私泄露及财产损失的风险。

源链接

Hacking more

...