数字广告为开发者带来了巨大价值,同时也带来了与用户体验、用户安全和数据隐私相关的无数风险。随着恶意广告者不断改变形态,及时了解恶意广告者用来损害用户体验的最新技术至关重要。

2021年恶意软件趋势:检测和打击恶意软件-赋能集团

2021年趋势:

更精确的用户定位:复杂的指纹识别

独特的混淆技术:增强伪装

被利用的数据共享实践:启用Cookie同步的恶意广告

具有欺骗性和攻击性的点击诱饵广告素材

指纹识别

随着更老练的演员进入舞台,规格也越来越高。在广告技术行业中,指纹验证被称为cookie使用的替代做法。虽然大多数行业参与者将指纹识别与用于用户定位的受众数据收集相关联,但恶意广告者也实施此技术以确保他们达到目标环境。

与传统指纹识别一样,恶意指纹识别旨在识别设备的特定属性:包括操作系统、网络浏览器的类型和版本、语言设置和设备的IP地址。

这些规范被转换为嵌入代码中的指纹值,以确定要为每个唯一用户触发的操作。在构建恶意活动时,网络犯罪分子通常会建立两条攻击路径;包括主攻和副攻。主要攻击将根据指纹识别是否基于活动的指定标准识别目标受害者而执行。当相关用户被识别时,恶意代码开始执行,用户被发送到预期路径。如果指纹无法识别相关用户,则用户通常会进入二级攻击路径。

广告伪装

在程序化的世界中,广告隐藏和指纹识别通常是齐头并进的。广告伪装是一种针对恶意广告者的复杂伪装机制,它根据特定的设备指纹提供不同的恶意提示和内容。分析以用户为中心的变量以呈现不同路径(一种恶意和一种合法)的做法有助于恶意广告者逃避检测,使其成为最突出的威胁之一。

伪装和心理重定向

2010 年代中期的强制重定向使过去几年的网络钓鱼攻击和横幅内视频计划黯然失色。在我们目前的现实中,出版商专注于“心理重定向”——换句话说,欺骗性广告、攻击性或煽动性的创意。所有点击诱饵变体:它们都以一种或另一种方式能够广泛传播,因为恶意广告者使用伪装策略来伪装他们的真实意图。

隐身攻击明确设计为在呈现印象之前通过广告标签级别的扫描,并向扫描技术显示错误结果。伪装者通常通过在代码行中隐藏他们自己的真实URL来绕过手动和自动质量保证层,或者包含看起来像合法出版商或公司URL的代码。当诈骗者识别出筛选工作时,他们会隐藏他们的恶意活动,因此如果安全工具扫描广告标签,它将无法发现恶意活动。伪造或混淆的代码对于基本扫描工具来说看起来是合法的,因此它到达了用户可以直接与其交互的预期目的地。

客户端与服务器端伪装

服务器端; 主要依赖于网络标头和客户端 IP。服务器通过将 IP 和网络标头与非目标位置和设备列表进行比较来过滤请求。

客户端:主要用于对客户端设备和环境进行指纹识别。之后,将数据发送到服务器,服务器将识别这是否是目标用户。

随着时间的推移,隐蔽攻击将识别有最终用户的环境和没有最终用户的环境。“非用户”环境将包括搜索引擎和某些广告监控工具。隐藏页使用检测工具分析各种参数,包括IP地址、浏览器、设备等,以识别人工的非用户环境。

由于隐藏在最后一个微时刻关闭广告创意,因此当页面和广告内容呈现时,扫描技术不会检测到此切换,因为它是实时发生的。实时拦截可以在隐藏的广告最终出现时以及在页面内容加载之前捕获它。

欺骗性和攻击性的创意

避免强制重定向,现代恶意广告商实施了无数技术来逃避广告质量审查并将用户直接吸引到欺诈网站。最近的攻击被称为“心理重定向”,根据用户操作执行,触发另一个级别的 javascript。网络犯罪分子正在结合前面提到的元素;先进的定位和复杂的规避技术,包括伪装,以支持虚假广告活动。

在 2020 年和 2021 年初,广泛的恶意广告活动证明,当在创意或随附的着陆页上与欺骗性、攻击性或煽动性文本和图像相结合时,隐形攻击最有利可图。借助先进的指纹识别技术,恶意广告者可以使用欺骗性和个性化攻击精心策划本地化活动。然而,恶意广告者正在以新的方式将恶意软件潜入用户的设备中——拒绝坚持一种变体或入侵策略。

用户同步恶意广告

随着恶意广告检测功能的发展,恶意软件继续以各种方式通过数字广告渠道滑入用户设备,包括启用cookie同步的活动。2021年初,赋能集团的安全研究团队发现了cookie同步的滥用,这是广告行业玩家用来跨平台交换用户数据并更好地定位在线受众的过程。

Electrum恶意Cookie同步活动

电子攻击 利用广告供应链中的合法数据共享实践来服务恶意软件并执行客户端重定向。该攻击针对来自流行的比特币钱包Electrum的用户,该钱包存储和发送加密货币交易。与通过广告创意传送恶意负载的传统恶意尝试不同,攻击者破坏了一个中等规模的SSP(供应方平台)cookie同步代码——危及每个链接伙伴。

当两个不同的系统映射彼此的唯一ID并共享收集到的关于同一用户的数据时,同步过程就会起作用。由于cookie是特定于域的,因此另一个广告技术合作伙伴无法读取由一个广告技术合作伙伴创建的cookie。因此,创建cookie同步是为了规避域限制并跨平台和广告商共享有关用户的数据 – 并迅速成为标准的行业惯例。在此活动中,Electrum攻击者实施了高度混淆的代码来对用户设备进行指纹识别,将用户重定向到弹出窗口,从而导致Electrum软件更新具有欺骗性。

利用用户同步

据赋能集团跟踪此活动的安全研究人员称,滥用cookie同步是一种新的规避策略,可避免被广告验证解决方案检测到,并通过恶意操纵的欺骗性广告瞄准合法受害者。虽然cookie同步是必不可少的做法,但它不涉及发布商的广告服务器,因此很难识别和阻止。据赋能集团的安全团队称,这种恶意cookie同步活动的主要目标是从加密货币钱包中窃取用户资金并扩大攻击范围,同时规避传统的RTB成本。这实际上意味着网络犯罪分子可以将攻击与广告服务器完全分离,以利用程序化的不透明性质——包括针对受众的交易中的漏洞。

赋能集团的安全研究团队将继续密切跟踪上述趋势,以确保广告体验的质量。