近日據外媒報道，安全公司 FireEye 研究人員 Zain Gardezi 與 Manish Sardiwal 近期發現：黑客利用 Neptune 漏洞開發工具包通過合法網站彈出的虛假廣告將用戶重定向至特定網頁，并利用瀏覽器漏洞投放挖礦工具。

圖1. 遭受 Neptune 漏洞開發工具包影響的國家分布情況

調查顯示，攻擊者在某知名徒步旅游網站上偽造看似 “ 合法 ” 的彈出式廣告窗口，誘導用戶點擊后重定向至特定頁面，并通過檢測 IE 瀏覽器漏洞確定是否投放挖礦工具。這些虛假廣告多數情況出現在高流量領域或多媒體托管網站。一旦用戶被重定向后會立即下載惡意軟件。目前，研究人員尚未透露彈出式廣告服務商名稱，但強調了該企業在 Alexa 排名前 100。

漏洞開發工具包的登錄頁面運行多處漏洞，其中包括瞄準 IE 網站展開攻擊的三處漏洞（ CVE-2016189、CVE-2015-2419、CVE-2014-6332），及以 Flash 為目標的兩處漏洞（CVE-2015-8651、CVE-2015-7645） 。

研究人員表示，此類攻擊活動主要是黑客通過開發工具包領域的統一資源標識符（URI）將 payload 作為普通可執行文件運行。目標設備被感染后就會嘗試使用攻擊者電子郵件地址賬號登錄到加密貨幣采礦池 minergate[.]com。

圖2. 虛假廣告頁面