刷论坛时被跳转至恶意网站问题汇报贴

今天下午在浏览论坛时,遇到了一次非常典型的恶意广告重定向攻击 (Malvertising)。浏览器被强制跳转到诈骗页面(仿冒 McAfee)。

经过对浏览器缓存和网络日志的取证分析,确认这是一次基于 Video Ad (VAST/VPAID) 的供应链投毒攻击。为了防止更多人中招,特此发帖预警,并提供技术证据供管理员排查。

0.对普通用户的紧急建议

这个网页会弹出虚假的McAfee, 并请求推送权限等. 如果遇到类似情况, 不要点击任何内容, 直接关闭网页, 并根据下文排查 Service Worker是否遭受inject

这次攻击最恶心的地方在于它尝试注册 Service Worker。这意味着即使你关掉了网页,恶意脚本可能仍在后台运行。

请务必检查你的浏览器:

  1. 在 Chrome 地址栏输入 chrome://serviceworker-internals/
  2. 搜索是否存在乱码域名(如 cheerful-vista... 或类似 .xyz 结尾的域名)。
  3. 如果发现,请立即点击 Unregister

此类恶意广告网络常被用于分发窃密木马, 如果点击了页面上的“立即查杀”或“更新驱动”按钮,可能会下载并运行真正的恶意 .exe.msi 文件,导致浏览器保存的密码和 Session Token 被盗。

如果你点击了任何按钮, 请立即全盘查杀病毒, 并修改密码

1. 攻击现象:

在浏览帖子时,页面出现卡顿,随后当前页面的 DOM Title 被篡改为 McAfee Privacy Protection,紧接着通过 top.location 强制跳转到 .xyz 诈骗域名。

2 . 溯源分析

通过提取 Chrome Cache中的明文日志,发现攻击向量大概率来自视频广告网络

  1. 攻击入口: 页面加载了 vid.connatix.comopamarketplace.com 相关的 VAST 视频广告标签。
  2. Payload 加密: 恶意脚本通过 AES 加密(日志中捕获到 Salted__ 开头的 OpenSSL 密文)传输,绕过了静态安全扫描。
  3. 攻击链: Video Player → VAST Tag → Malicious JS → DOM Manipulation → Redirect.

以下是从内存缓存中提取的关键日志片段:
. 恶意域名的出现与加密 Payload:

?^~1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz
https://cheerful-vista-dreamscape-basecamp.xyz/?2qw3n=U2FsdGVkX1… (Encrypted Payload)`

2. 尝试注册 Service Worker (持久化攻击):

ir1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz/serviceWorker.js`

3. 关联的广告请求 (可能是被投毒的源头):

1/0/_dk_https://uscardforum.comhttps://vid.connatix.com/pid-
1/0/_dk_https://uscardforum.comhttps://servx.opamarketplace.com/api/adserver/vast3/…`

4. 发现遭受 Service Worker injection

3.给管理员的建议

说实话发生这种事情, Google Ad Network 背 80% 的锅, 他们的审查机制被绕过了
不过这次攻击可能是定向投毒。建议论坛在 Google Ad Manager 或相关广告后台中:

  1. 检查并屏蔽 Software / Utilities 及其子类别的广告。
  2. 重点审查来自 ConnatixOpa Marketplace 的视频广告素材。
  3. 如果可能,收紧 Content Security Policy,限制 iframe 的 allow-top-navigation 权限,防止广告 frame 重定向主页面。

希望大家注意安全。

61 个赞