上個月接管雅虎廣告網(wǎng)絡(luò)四天的巨大惡意廣告活動可能有數(shù)億潛在受害者。網(wǎng)絡(luò)安全公司Malw??arebytes昨天發(fā)現(xiàn)了這次攻擊，并表示這是它目睹的最大攻擊之一，影響雅虎家庭，新聞，金融，體育，名人和游戲網(wǎng)頁上的廣告。

根據(jù)SimilarWeb，主頁yahoo.com每月訪問量僅為69億次，這意味著4天的訪問量將達到 8.9億次。即使這些并非都是獨一無二的，它仍然會使數(shù)億人面臨惡意軟件的風險，其有效載荷可能包括勒索軟件CryptoWall和廣告欺詐Bedep。

“這是我們最近看到的最大的惡意廣告攻擊之一，” 高級安全研究員JérômeSegura 說道，他補充說，該攻擊利用Microsoft Azure將用戶重定向到Angler漏洞利用工具包。“雖然我們知道Angler已經(jīng)放棄了混合廣告欺詐(Bedep)和勒索軟件(CryptoWall)，但我們沒有在這個特定的活動中收集有效載荷，”Seguras說。

他解釋說惡意廣告特別危險，因為它不需要受害者采取行動來下載錯誤 - 只需瀏覽包含受感染廣告的網(wǎng)站就足夠了。“網(wǎng)絡(luò)廣告經(jīng)濟的復雜性使惡意行為者很容易濫用系統(tǒng)并逃脫它，”塞古拉補充說。

一旦Malwarebytes意識到，雅虎就會采取措施來對抗攻擊，并且該活動不再活躍。

雅虎發(fā)言人表示：“雅虎致力于確保我們的廣告客戶和用戶都能獲得安全可靠的體驗。一旦我們了解到這個問題，我們的團隊就會采取行動并繼續(xù)調(diào)查此問題。“不幸的是，破壞性廣告行為會影響整個科技行業(yè)。雅虎在這個問題上有著悠久的參與歷史，并致力于與同行合作，創(chuàng)造安全的廣告體驗。我們將通過自動化測試和SafeFrame工作組繼續(xù)確保廣告的質(zhì)量和安全，該工作組旨在保護消費者和發(fā)布商免受在線廣告生態(tài)系統(tǒng)中固有的潛在安全風險的影響。

保護自己

然而，攻擊的規(guī)模導致一些人詢問雅虎系統(tǒng)的安全性。

網(wǎng)絡(luò)安全公司W(wǎng)ebroot的安全情報總監(jiān)Grayson Milbourne表示：“這一漏洞引發(fā)了對這次攻擊規(guī)模和雅虎安全流程的嚴重質(zhì)疑。“[它]表明潛在的違規(guī)行為正朝著變得更加復雜的方向前進，并進一步影響到更多的終端用戶。”

Milbourne敦促用戶堅持使用Chrome瀏覽器，再加上反廣告軟件，以避免將來出現(xiàn)惡意廣告威脅。“使用Chrome瀏覽器以及廣告刪除擴展程序，”他說，“有一些可供選擇，并且使用這種組合提供了防止廣告網(wǎng)絡(luò)重定向到漏洞利用工具包的最佳機會。”