當(dāng)你讀到這些文字時，合法網(wǎng)站上的惡意廣告正在用惡意軟件攻擊訪問者。但研究人員說，這種惡意軟件不會感染他們的電腦。相反，它會導(dǎo)致不安全的路由器連接到欺詐域。

利用一種被稱為隱寫術(shù)的技術(shù)，廣告將惡意代碼隱藏在圖像數(shù)據(jù)中。然后，隱藏的代碼將目標(biāo)重定向到承載dns變頻器的網(wǎng)頁，dns變頻器是一種攻擊工具，會感染正在運(yùn)行未打補(bǔ)丁的固件或使用弱管理密碼進(jìn)行保護(hù)的路由器。一旦路由器被攻陷，dns變換器將其配置為使用攻擊者控制的域名系統(tǒng)服務(wù)器。這導(dǎo)致網(wǎng)絡(luò)上的大多數(shù)計(jì)算機(jī)訪問欺騙性的服務(wù)器，而不是與它們的官方域相對應(yīng)的服務(wù)器。

這些發(fā)現(xiàn)意義重大，因?yàn)樗鼈兦宄乇砻鳎瑹o處不在且常常被忽視的設(shè)備正在受到主動攻擊，一旦受到攻擊，這些設(shè)備就會影響網(wǎng)絡(luò)上每臺設(shè)備的安全，使它們面臨進(jìn)一步的攻擊、彈出窗口、惡意廣告等。因此，這類攻擊的潛在足跡是很高的，潛在影響是顯著的。

廣告首先檢查訪客的IP地址是否在目標(biāo)范圍內(nèi)，這是許多惡意廣告活動的典型行為，目的是盡可能長時間不被發(fā)現(xiàn)。如果地址不是攻擊者想要攻擊的目標(biāo)，他們就會提供一個沒有攻擊代碼的誘餌廣告。如果IP地址是攻擊者想要感染的，他們就會提供一個假廣告，在PNG圖像的元數(shù)據(jù)中隱藏攻擊代碼。然后，該代碼導(dǎo)致訪問者連接到承載dns變頻器的頁面，該頁面再次檢查訪問者的IP地址，以確保其在目標(biāo)范圍內(nèi)。一旦檢查通過，這個惡意網(wǎng)站就會提供第二張被路由器攻擊代碼隱藏的圖片。

“這種攻擊是由偵察階段探測到的特定路由器模型決定的，”使用名為Kafeine的Proofpoint研究員在一篇博客文章中寫道。“如果沒有已知的漏洞，攻擊將嘗試使用默認(rèn)憑證。”如果沒有已知的攻擊和默認(rèn)密碼，攻擊將中止。

dns變換器使用一組稱為webRTC的實(shí)時通信協(xié)議來發(fā)送VoIP通信中使用的所謂的STUN服務(wù)器請求。這個漏洞最終能夠通過Chrome瀏覽器將Windows和Android的代碼發(fā)送到網(wǎng)絡(luò)路由器。然后，該攻擊將被訪問的路由器與166個已知易受攻擊的路由器固件映像指紋進(jìn)行比較。Proofpoint說，不可能列出所有易受攻擊的路由器，但部分名單包括:

惡意廣告通過合法的廣告網(wǎng)絡(luò)一次發(fā)送數(shù)天，并在合法的網(wǎng)站上顯示。Proofpoint的惠勒說，目前還沒有足夠的數(shù)據(jù)來了解有多少人接觸了這些廣告，也不知道這項(xiàng)活動已經(jīng)開展了多久，但他說，此前，該活動背后的攻擊者要對每天襲擊100多萬人的惡意軟件負(fù)責(zé)。在撰寫這篇文章的時候，競選活動仍然很活躍。Proofpoint沒有確認(rèn)任何發(fā)送或顯示惡意廣告的廣告網(wǎng)絡(luò)或網(wǎng)站。

DNS服務(wù)器將諸如arstechnica.com這樣的域名轉(zhuǎn)換成諸如50.31.151.33這樣的IP地址，這些IP地址是需要計(jì)算機(jī)來查找和訪問站點(diǎn)的。通過改變路由器設(shè)置來使用攻擊者控制的服務(wù)器，dns變換器可以使大多數(shù)(如果不是全部的話)連接的計(jì)算機(jī)連接到冒名頂替者站點(diǎn)，這些站點(diǎn)看起來就像真實(shí)的站點(diǎn)一樣。到目前為止，dns變頻器使用的惡意DNS服務(wù)器似乎是偽造的IP地址，以分流來自大型廣告機(jī)構(gòu)的流量，支持名為Fogzy和traffic broker的廣告網(wǎng)絡(luò)。但是該服務(wù)器可以在任何時候進(jìn)行更新，以偽造對Gmail.com、bankofamerica.com或任何其他網(wǎng)站的查找。幸運(yùn)的是，在這種情況下，HTTPS保護(hù)將標(biāo)記冒名頂替者。