大规模针对iOS设备的恶意广告活动劫持3亿次浏览器会话

针对iOS设备的大规模恶意广告活动在短短48小时内就劫持了3亿次浏览器会话。Confiant的研究人员记录了11月12日的活动，表示该活动背后的威胁行动者至今仍保持活跃。

恶意登录页面

当用户访问网页时，恶意广告将执行嵌入的混淆JavaScript。然后受害者被重定向到一系列恶意登陆页面，包括happy.hipstarclub [dot] com或happy.luckstarclub [dot] com，这些页面多是伪装成主题为“恭喜中奖”的诈骗页面。研究人员表示，这些着陆页通常会模仿Google Play应用程序，使其看起来更合法。

Confiant首席技术官Jerome Dangu告诉媒体，这些页面通常会尝试搜索访客数据，以便进行联合营销欺诈和/或窃取个人身份识别数据，如电子邮件，地址，收入信息，购买意图等。会话在没有用户交互的情况下被劫持了。“当用户看见有机会赢得1000美元时，部分人会被诱惑上当。”在大规模的诈骗计划中，这对攻击者来说是非常有利可图的。

恶意广告活动并不罕见。例如，今年7月，AdsTerra在线广告公司被利用，参与了一场至少涉及1万个被入侵网站的恶意营销活动。这次活动主要针对的是美国的iOS用户。尽管Confiant屏蔽了500多万次点击，但该公司估计，在48小时的时间里，为发布商提供的总点击量超过3亿次。近60％的Confiant客户受到了该活动的影响，并表示如果用户在受影响的时间段使用iPhone浏览自己喜欢的网站，则很有可能遭遇恶意广告活动。

Dangu说，将转换率保守计算为0.1%，3亿受影响的浏览器会员至少会产生30万受害者。Cpnfiant遥测数据显示攻击者花费了20万美元运营这项活动，预计他们两天内就赚到了100万美元。

关于这一活动背后的攻击者看法上，研究者发现其攻击活动规模远超同类组织，自8月以来攻击者就开始活跃，但目前并没有得到更进一步的具体信息。研究人员观察到，攻击目标虽然主要在美国范围内，但攻击者在澳大利亚和新西兰也开展了恶意广告活动。同时 攻击者一直在使用不同的广告网络，预计他/她会继续利用程序化广告平台继续维持运营。