在Confiant的“ 2019年第三季度需求质量报告”中，这家广告欺诈和安全公司分析了从1月1日到9月20日在其系统中流动的1200亿次广告曝光量，以细分各种恶意广告活动。

虽然Confiant的报告还讨论了那些低质量广告和横幅广告，但此次我们将重点关注检测到的恶意广告以及利用它们的恶意活动。

Confiant将恶意广告定义为一种执行不良行为广告，例如强制重定向、加密劫持或感染访客设备的广告。

恶意广告数据分析

为了创建“ 2019年第三季度需求质量报告 ”，Confiant分析了其广告创意审核系统捕获的1200亿个广告的样本。

好消息是，进入用户浏览器的恶意广告数量正在减少，原因是Confinant过滤掉了不良广告等解决方案，发布者采用ads.txt文件来防止未经授权的广告出现在他们的网站上，以及供应方平台（SSP）之间更加警惕和严格的控制。

尽管我们正朝着正确的方向发展，恶意广告的数量从0.25％下降到0.15％，但仍然有很多不受欢迎的广告进入用户的浏览器，并且大多数广告都来自于某几个供应商。

在由Confiant监控的75个SSP或广告提供商中，超过60％的恶意广告曝光量来自其中三个分别命名为SSP-H、SSP-I和SSP-D的。更令人担忧的是，一个SSP对Confirant看到的30%以上的恶意广告负责。

最高SSP的恶意曝光率

虽然看到对恶意广告负责的ssp对攻击的响应往往较慢，这并不奇怪，但令人惊讶的是，其他恶意广告较少的ssp甚至会更慢。

对SSP攻击的平均响应时间

最后，恶意广告商往往会在监控广告网络的人员较少的时期进行广告活动，因此对于攻击的响应可能会变慢。

从下面的图表中可以看出，大多数广告活动是在周末进行的，其中最大的广告活动是在假期进行的。

最常推送恶意广告的时间

主要的恶意广告商

在2019年第三季度，有四个威胁行为者负责通过广告网络分发的大多数恶意广告。

这些威胁行为者的名称为Scamclub、eGobbler、RunPMK和Zirconium，虽然它们可能在全年中稳定运行，但在特定时间，有明显的活动显示有特定的人员在大力推动广告。

如下所示，您可以在其中看到不同的威胁行为者在第三季度的不同时间进行的各种活动。

四大犯罪集团的恶意广告活动

每个集团都倾向于关注不同类型的恶意广告，以及如何将其注入合法广告流量，如下所述。

Scamclub

与其他威胁行为者不同，Scamclub并没有做出很大努力来通过指纹识别和定位来逃避检测。

取而代之的是，Scamclub将对数十个甚至数百个广告素材进行大规模的宣传活动，以冲击广告网络平台，希望其中的某些广告能使网站访问者觉得是安全的、合法的。

Scamclub广告示例

eGobbler

eGobbler是一个已知的恶意程序，利用浏览器的漏洞或错误来将用户重定向到恶意站点。在之前的一次活动中，eGobbler利用WebKit漏洞感染了超过10亿个广告。

eGobbler广告示例

Confiant指出，显然eGobbler的目标通常是运行Windows的台式计算机。

他们的第三季度攻击针对主要运行Windows的台式计算机，这些台式计算机在意大利、西班牙和斯堪的纳维亚半岛具有很高的用户集中度。我们的研究人员发现，即使发布者以最佳方式设置了iframe沙箱权限，当用户点击父页面时，也会生成一个弹出窗口。Confiant于8月7日向Webkit团队报告了此漏洞，并已在iOS 13中修复。

RunPMK

RunPMK以iOS和Android上的移动流量为目标，以显示欺诈性广告，例如那些声称您获得了一部iPhone以及旋转奖品转盘的广告。

Confiant注意到RunPMK进行了针对212个国家的全球攻击。

RunPMK广告示例

Zirconium

众所周知，锆威胁组使用独特的指纹识别方法来针对特定的广告用户。

据Confiant称，他们的脚本使用了复杂的混淆技术，并且通常在桌面用户上推送技术支持来进行诈骗。

Zirconium广告示例

情况有所改善

尽管现在仍然存在恶意传播问题，但广告环境也正在改善，用户应该继续使用防病毒软件来阻止已知的恶意站点或广告屏蔽程序。

正如Confiant所指出的那样，有一些有效的方法可以过滤掉恶意广告，并且如果SSP保持警惕并选择合适的合作伙伴，恶意广告则可能还会继续下降。

本文翻译自：https://www.bleepingcomputer.com/news/security/almost-60-percent-of-malicious-ads-come-from-three-ad-providers/如若转载，请注明原文地址： https://www.4hou.com/info/news/21886.html