今天下午在浏览论坛时,遇到了一次非常典型的恶意广告重定向攻击 (Malvertising)。浏览器被强制跳转到诈骗页面(仿冒 McAfee)。
经过对浏览器缓存和网络日志的取证分析,确认这是一次基于 Video Ad (VAST/VPAID) 的供应链投毒攻击。为了防止更多人中招,特此发帖预警,并提供技术证据供管理员排查。
0.对普通用户的紧急建议
这个网页会弹出虚假的McAfee, 并请求推送权限等. 如果遇到类似情况, 不要点击任何内容, 直接关闭网页, 并根据下文排查 Service Worker是否遭受inject
这次攻击最恶心的地方在于它尝试注册 Service Worker。这意味着即使你关掉了网页,恶意脚本可能仍在后台运行。
请务必检查你的浏览器:
- 在 Chrome 地址栏输入
chrome://serviceworker-internals/ - 搜索是否存在乱码域名(如
cheerful-vista...或类似.xyz结尾的域名)。 - 如果发现,请立即点击 Unregister。
此类恶意广告网络常被用于分发窃密木马, 如果点击了页面上的“立即查杀”或“更新驱动”按钮,可能会下载并运行真正的恶意 .exe 或 .msi 文件,导致浏览器保存的密码和 Session Token 被盗。
如果你点击了任何按钮, 请立即全盘查杀病毒, 并修改密码
1. 攻击现象:
在浏览帖子时,页面出现卡顿,随后当前页面的 DOM Title 被篡改为 McAfee Privacy Protection,紧接着通过 top.location 强制跳转到 .xyz 诈骗域名。
2 . 溯源分析
通过提取 Chrome Cache中的明文日志,发现攻击向量大概率来自视频广告网络。
- 攻击入口: 页面加载了
vid.connatix.com和opamarketplace.com相关的 VAST 视频广告标签。 - Payload 加密: 恶意脚本通过 AES 加密(日志中捕获到
Salted__开头的 OpenSSL 密文)传输,绕过了静态安全扫描。 - 攻击链: Video Player → VAST Tag → Malicious JS → DOM Manipulation → Redirect.
以下是从内存缓存中提取的关键日志片段:
. 恶意域名的出现与加密 Payload:
?^~1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz …
https://cheerful-vista-dreamscape-basecamp.xyz/?2qw3n=U2FsdGVkX1… (Encrypted Payload)`
2. 尝试注册 Service Worker (持久化攻击):
ir1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz/serviceWorker.js`
3. 关联的广告请求 (可能是被投毒的源头):
1/0/_dk_https://uscardforum.com … https://vid.connatix.com/pid-…
1/0/_dk_https://uscardforum.com … https://servx.opamarketplace.com/api/adserver/vast3/…`
4. 发现遭受 Service Worker injection
3.给管理员的建议
说实话发生这种事情, Google Ad Network 背 80% 的锅, 他们的审查机制被绕过了
不过这次攻击可能是定向投毒。建议论坛在 Google Ad Manager 或相关广告后台中:
- 检查并屏蔽 Software / Utilities 及其子类别的广告。
- 重点审查来自 Connatix 或 Opa Marketplace 的视频广告素材。
- 如果可能,收紧 Content Security Policy,限制 iframe 的
allow-top-navigation权限,防止广告 frame 重定向主页面。
希望大家注意安全。


