恶意广告，顾名思义，黑客在合法网站上购买一块空间，上传能够感染网站访问者电脑的广告。

新闻页面看上去很无辜。除了名人八卦和杂志板面，英国新闻网站每日邮报（The Daily Mail）似乎没有包含什么特别恶意的东西。然而，如果你在今年十月访问该网站，就可能在不知不觉中落入黑客的复杂圈套。

在每日邮报的后台中，第三方广告暗中将读者重定向到强大的漏洞利用工具包，并利用这些工具包在用户电脑上安装恶意软件。

恶意广告正在蓬勃发展：网络罪犯在互联网不起眼的角落或流行网站处租用广告位置，并感染尽可能多的电脑。

大量热门网站成为目标

恶意广告至少可以追溯到2009年，当时，一些访问纽约时报的用户遇到了弹出式的杀毒扫描器。每日邮报的攻击只是最近发生在主流网站上的例子之一。

流行色情网站 YouPron 和 Pornhub 在今年九月也传播了恶意软件。霍芬顿邮报每月都有1亿用户访问量，也在分发恶意软件。事实上，霍芬顿邮报已经不是第一次中招了。同样的事情在2014年12月也发生过，并一直持续到今年一月份。

这些情景听上去熟悉么？那是因为它就是这样。来自恶意软件安全公司 Cyphort 的研究人员报告称，2014年一月到2015年二月间，恶意广告攻击数量增长了325%。

恶意广告的工作原理

尽管每次攻击都有所不同，恶意广告基本都有着同样的流程。首先，攻击者在广告网络上注册。广告网络就是在你浏览的网站上投放广告的公司，并将广告空间卖给需要宣传产品的公司。

它们充当了希望出售空闲空间的网站和希望做广告的公司之间的中间人。广告作者向广告网络的中央服务器上传内容，这些广告代码在必要时会被发送到网站。

Malwarebytes 公司的高级安全研究员杰罗姆·赛鲁哈（Jérôme Segura）称，接下来，黑客会利用这种交换过程，假冒成知名企业并上传它们自己的广告。这些广告很有可能是基于 Flash的内容，或者包含恶意的 Javascript代码。

当你访问网站，所看到的广告是通过实时竞价确定的：访问在之前就留下了一定的印象，外加用户画像。然后，当某人访问网站时，对每一类用户画像而言，出价最高的公司将获胜， 并将广告显示在网站上。

如果是恶意广告，一旦你加载了相应广告页面，出现的广告及其代码就会将你重定向到托管了漏洞利用包的某网页，而你甚至不需要点击该广告。这很有可能发生在后台，过程利用了 iFrame ，它是一种对裸眼而言不可见的网页内容，因此也不需要和你进行交互。事实上，发生的整个过程你都很难注意到。

Segura说：“着陆页（Landing Page）的作用是确定计算机上是否存在有漏洞的插件，它会查看浏览器使用的东西，然后查询 Flash，或者其它存在漏洞的软件。”

最后，页面会推送漏洞包，并将攻击者使用的恶意软件下载到你的电脑。恶意广告有时候会推送勒索软件，这种软件会锁定你计算机上的文档，然后索取赎金；另一些恶意广告会发送银行木马，窃取财务信息。

需要注意的是，并不是每个访问受影响网站的用户都一定会被黑，由于使用了实时竞价机制，有些广告只会对特定国家或特定用户画像的群体加载。如果配置了恰当的保护措施，你的计算机可能完全不会受到恶意广告攻击的影响。

这就是说，很多恶意广告活动使用了流行的钓鱼工具包。思科最近发布的一份报告称，漏洞包在全球范围内的成功渗透率能够达到40%。此外，最近发生的一连串攻击中使用了零日漏洞，这意味着即使是完全打好补丁的软件也可能遭到入侵。不过恶意广告中使用零日漏洞的情况并不多。

最近，黑客已经开始使用 HTTPS ，这让他们更难追踪到。

如何阻止恶意广告？

能否缓解恶意广告问题，取决于用户、网站开发者和广告网络本身。

由于漫不经心，谷歌的广告平台已经被恶意广告活动利用。谷歌的代表阿伦那·巴赫（Hélène Barrot）对媒体表示，谷歌已经采取了多种措施，与产业合作伙伴协同发表恶意广告研究报告，并使用恶意软件检测工具。“2014年，我们禁止了超过5亿恶意广告，封杀了超过21万名投放恶意广告的个人。”

Segura 并不认为配备更好的扫描工具能够解决问题：有太多需要关注的东西了。相反，他认为应当提高准入门槛，提升注册广告网络的最低佣金，以增加攻击者的财务风险。

目前，恶意广告对于网络罪犯的成本极其低廉。对于一些广告网络，黑客能够以30美分的成本向一千人推送广告，甚至还能更便宜。

Segura 建议称，如果出版商不想让读者遭受恶意广告风险，也许可以考虑其它形式的支持，比如原生广告或者赞助内容。但这对于主流 Web 出版商不是一个可行的选择，因为它们依赖于数亿美元的广告收入保持运转。

当然，另一个比较暴力的方法是广告拦截。有人认为这只是治标不治本，但广告拦截的确可以有效的控制用户暴露到网上的信息。这也是现实中，大多数浏览者的选择。