外媒1月22日消息，CSE Cybsec 的惡意軟件專家發現了一個大規模的惡意廣告運動 EvilTraffic，利用數萬個受感染的網站開展攻擊。據悉，黑客在此次攻擊活動中利用了一些 CMS 漏洞上傳和執行用于通過廣告創收的任意 PHP 頁面。

研究人員介紹，參與惡意軟件EvilTraffic活動的受感染網站運行著WordPress CMS的各種版本，一旦網站遭到入侵，攻擊者將上傳一個包含所有惡意文件的 “ zip ” 文件。盡管 “ zip ” 文件對于每一種感染都有不同的名稱，但是在未壓縮時，它所包含的文件始終具有相同的結構。經過研究人員分析，目前這些文件還沒有被使用。

惡意文件可能被插入到相同惡意軟件不同版本的路徑下（“ vomiu ”，“ blsnxw ”，“ yrpowe ”，“ hkfoeyw ”，“ aqkei ”，“ xbiret ”，“ slvkty ”）。該文件夾包含以下內容：

① 一個名為 “ lerbim.php ” 的 php 文件;

② 一個與父目錄具有相同的名稱的 php 文件，; 它最初只有 “ .suspected ” 擴展名，只有在第二次使用 “ lerbim.php ” 文件的時候才會在 “ .php ” 文件中被修改;

③ 兩個名為 “ wtuds ” 和 “ sotpie ” 的目錄，其中包含一系列文件。

下圖顯示了這種結構的一個例子：

EvilTraffic 活動中使用的“ 惡意軟件 ”主要目的是通過至少兩臺產生廣告流量的服務器觸發重定向鏈。

文件 “ {malw_name} .php ” 成為所有環境的核心：如果用戶通過網頁瀏覽器接觸到它，它首先將流量重定向到“ caforyn.pw ”，然后再重定向到 “ hitcpm.com ”，充當一個不同的網站注冊到這個收入鏈的調度員。

這些網站可以被攻擊者用來提供商業服務，目的是為其客戶增加流量，但是這種流量是通過損害網站的非法方式產生的。除此之外，這些網站還可以提供虛假頁面來下載虛假的東西(比如工具欄、瀏覽器擴展或偽反病毒)或者竊取敏感數據(即信用卡信息)。

為了提高網站的知名度，被攻陷的網站必須在搜索引擎上擁有良好的排名。因此，惡意軟件通過利用包含趨勢搜索詞的詞匯表來執行 SEO 中毒。

目前 CSE CybSec ZLab 的研究人員發現了大約 18,100 個受感染的網站。當研究人員分析 EvilTraffic 的惡意廣告活動時，他們意識到最初幾個星期內使用的被感染的網站在最后幾天都被清理干凈了。僅在一周之內，受影響的網站數量從 35 萬個下降到 18 萬個左右。

根據 Alexa Traffic Rank 的數據，hitcpm.com 排名世界第 132 位，全球互聯網用戶訪問量約為 0.2367％ 。以下是 hypestat.com 網站提供的與 hitcpm.com 相關的流量統計數據：

分析顯示 2017 年 10 月份的流量呈指數增長。目前專家還發現惡意軟件通過各種方法分發，例如：

① 附件垃圾郵件

② 通過不可靠的網站下載免費程序

③ 打開 torrent 文件并點擊惡意鏈接

④ 通過玩網絡游戲

⑤ 通過訪問受影響的網站

惡意軟件的主要目的是劫持網頁瀏覽器設置，如 DNS，設置，主頁等，以便盡可能多地將流量重定向到調度器站點。