安全研究人员发现有骇客组织将恶意程序写入图片文件来发动恶意广告攻击，专门锁定Mac及iOS用户，已有500万在线的 *** 用户遭到了劫持，造成上百万美元收益损失。

　　该骇客组织因为通过veryied-malst.com发动恶意广告攻击，因而被命名为VeryMal。VeryMal之前就擅长使用图片隐写术加密手法造成用户端代码混淆闻名。Confiant研究人员今年1月11日到13日，又发现这个组织在美国二大 *** 广告交易平台上针对Mac及iOS用户发动攻击，劫持广告流量，波及四分之一的百大出版商网站。

　　研究人员Eliya Stein解释，由于恶意广告侦测技术日益发达，骇客也发觉太简单的攻击，如JavaScript混淆的手法很容易被发现，而图像隐写术则变为好选择。

　　在Malwarebytes协助下，研究人员分析出本次攻击的手法。首先，VeryMal在合法广告图片的像素中加入一段恶意代码，这些恶意广告图片就会随着用户浏览合法网站，下载到用户设备上。另一方面，VeryMal也在推送到终端的广告单元中加入JavsScript。当广告抵达用户设备时JavaScript即会检查该设备是否支持苹果字体。如果是，这段JavaScript就会读取广告图片文件，并解压缩隐藏的恶意代码，后者也是一段JavaScript指令，它会劫持Mac电脑或iPhone浏览器导向另一个URL，接着又导向另一个网站。最后网站会跳出视窗要求用户安装软件更新，通常是伪装成Adobe Flash Player的恶意程序。

　　上述过程中，骇客的目的是创造图片曝光次数以赚取广告费。Confiant侦测到骇客更高一天可驱动500万次广告图片曝光次数或 *** 连接。安全公司估计仅1月11日当天，出版商网站因广告流量被挟持就损失超过120万美元，还未计入受害者未来购买安装广告过滤软件，以及信用丧失造成的损失。

　　去年11月Confiant也侦测到由另一个骇客组织ScamClub发动过恶意广告攻击，两天内就挟持了3亿次 *** 连接，危害不容小觑。