當你讀到這些文字時(shí)，合法網(wǎng)站上的惡意廣告正在用惡意軟件攻擊訪(fǎng)問(wèn)者。但研究人員說(shuō)，這種惡意軟件不會(huì )感染他們的電腦。相反，它會(huì )導致不安全的路由器連接到欺詐域。

利用一種被稱(chēng)為隱寫(xiě)術(shù)的技術(shù)，廣告將惡意代碼隱藏在圖像數據中。然后，隱藏的代碼將目標重定向到承載dns變頻器的網(wǎng)頁(yè)，dns變頻器是一種攻擊工具，會(huì )感染正在運行未打補丁的固件或使用弱管理密碼進(jìn)行保護的路由器。一旦路由器被攻陷，dns變換器將其配置為使用攻擊者控制的域名系統服務(wù)器。這導致網(wǎng)絡(luò )上的大多數計算機訪(fǎng)問(wèn)欺騙性的服務(wù)器，而不是與它們的官方域相對應的服務(wù)器。

這些發(fā)現意義重大，因為它們清楚地表明，無(wú)處不在且常常被忽視的設備正在受到主動(dòng)攻擊，一旦受到攻擊，這些設備就會(huì )影響網(wǎng)絡(luò )上每臺設備的安全，使它們面臨進(jìn)一步的攻擊、彈出窗口、惡意廣告等。因此，這類(lèi)攻擊的潛在足跡是很高的，潛在影響是顯著(zhù)的。

廣告首先檢查訪(fǎng)客的IP地址是否在目標范圍內，這是許多惡意廣告活動(dòng)的典型行為，目的是盡可能長(cháng)時(shí)間不被發(fā)現。如果地址不是攻擊者想要攻擊的目標，他們就會(huì )提供一個(gè)沒(méi)有攻擊代碼的誘餌廣告。如果IP地址是攻擊者想要感染的，他們就會(huì )提供一個(gè)假廣告，在PNG圖像的元數據中隱藏攻擊代碼。然后，該代碼導致訪(fǎng)問(wèn)者連接到承載dns變頻器的頁(yè)面，該頁(yè)面再次檢查訪(fǎng)問(wèn)者的IP地址，以確保其在目標范圍內。一旦檢查通過(guò)，這個(gè)惡意網(wǎng)站就會(huì )提供第二張被路由器攻擊代碼隱藏的圖片。

“這種攻擊是由偵察階段探測到的特定路由器模型決定的，”使用名為Kafeine的Proofpoint研究員在一篇博客文章中寫(xiě)道。“如果沒(méi)有已知的漏洞，攻擊將嘗試使用默認憑證。”如果沒(méi)有已知的攻擊和默認密碼，攻擊將中止。

dns變換器使用一組稱(chēng)為webRTC的實(shí)時(shí)通信協(xié)議來(lái)發(fā)送VoIP通信中使用的所謂的STUN服務(wù)器請求。這個(gè)漏洞最終能夠通過(guò)Chrome瀏覽器將Windows和Android的代碼發(fā)送到網(wǎng)絡(luò )路由器。然后，該攻擊將被訪(fǎng)問(wèn)的路由器與166個(gè)已知易受攻擊的路由器固件映像指紋進(jìn)行比較。Proofpoint說(shuō)，不可能列出所有易受攻擊的路由器，但部分名單包括:

惡意廣告通過(guò)合法的廣告網(wǎng)絡(luò )一次發(fā)送數天，并在合法的網(wǎng)站上顯示。Proofpoint的惠勒說(shuō)，目前還沒(méi)有足夠的數據來(lái)了解有多少人接觸了這些廣告，也不知道這項活動(dòng)已經(jīng)開(kāi)展了多久，但他說(shuō)，此前，該活動(dòng)背后的攻擊者要對每天襲擊100多萬(wàn)人的惡意軟件負責。在撰寫(xiě)這篇文章的時(shí)候，競選活動(dòng)仍然很活躍。Proofpoint沒(méi)有確認任何發(fā)送或顯示惡意廣告的廣告網(wǎng)絡(luò )或網(wǎng)站。

DNS服務(wù)器將諸如arstechnica.com這樣的域名轉換成諸如50.31.151.33這樣的IP地址，這些IP地址是需要計算機來(lái)查找和訪(fǎng)問(wèn)站點(diǎn)的。通過(guò)改變路由器設置來(lái)使用攻擊者控制的服務(wù)器，dns變換器可以使大多數(如果不是全部的話(huà))連接的計算機連接到冒名頂替者站點(diǎn)，這些站點(diǎn)看起來(lái)就像真實(shí)的站點(diǎn)一樣。到目前為止，dns變頻器使用的惡意DNS服務(wù)器似乎是偽造的IP地址，以分流來(lái)自大型廣告機構的流量，支持名為Fogzy和traffic broker的廣告網(wǎng)絡(luò )。但是該服務(wù)器可以在任何時(shí)候進(jìn)行更新，以偽造對Gmail.com、bankofamerica.com或任何其他網(wǎng)站的查找。幸運的是，在這種情況下，HTTPS保護將標記冒名頂替者。