论坛出现模仿McAfee的针对性恶意广告攻击, 发生Service Worker 注入
论坛遭遇模仿McAfee的恶意广告攻击,涉及Service Worker注入,攻击已持续数月且难以根除,用户尝试多种方法应对。
1. 关键信息
- (之前已归纳)用户LiquidSnake报告在论坛浏览时遭遇恶意广告重定向攻击,页面被强制跳转至仿冒McAfee的诈骗页面。
- (之前已归纳)攻击通过Video Ad (VAST/VPAID) 的供应链投毒实现,恶意脚本通过AES加密传输,并尝试注册Service Worker以实现持久化攻击。
- (之前已归纳)攻击旨在诱导用户点击虚假“立即查杀”或“更新驱动”按钮,下载窃密木马,盗取浏览器保存的密码和Session Token。
- (之前已归纳)建议用户检查
chrome://serviceworker-internals/,删除可疑的乱码域名Service Worker。 - (之前已归纳)攻击入口涉及
vid.connatix.com和opamarketplace.com。 - (之前已归纳)攻击者利用了Google Ad Network的审查漏洞。
- (之前已归纳)用户IcyJ报告Service Worker点击终止后短时间内停止但又会自动激活,unregister没有反应。
- LiquidSnake建议重启浏览器,并检查
chrome://settings/content/all和chrome://settings/content/notifications以清除残留内容。 - LiquidSnake指出
div img问题比iframe更严重,因为前者允许广告推来的JavaScript直接在站上运行,而iframe至少有隔离作用,尽管iframe也可能被“越狱”。
2. 羊毛/优惠信息
- 无
3. 最新动态
- (之前已归纳)用户HutliKyi表示该攻击已出现数月。
- (之前已归纳)用户nj1998表示两周前曾多次遇到类似情况,误以为电脑中毒。
- (之前已归纳)用户IcyJ在帖子发布后(2026-03-05)询问如何处理无法unregister的Service Worker,并报告点击后无反应且自动激活的问题。
- (之前已归纳)用户LiquidSnake询问IcyJ具体遇到的Service Worker行为是反复激活还是点击无反应。
- (之前已归纳)用户rfclub指出此类广告攻击已发生多次,每次投诉后仅短暂收敛,建议管理员重视。
- IcyJ尝试LiquidSnake的建议,并表示感谢。
4. 争议或不同意见
- (之前已归纳)用户Kitsch认为Windows系统不行,但被LiquidSnake反驳,指出攻击跨平台。
- (之前已归纳)部分用户(如tikimad, cnMiniSnake, peroxide, camh, 002, adddr)表示使用广告屏蔽工具(如uBlock, Pi-hole)未受影响,并对未使用广告屏蔽的用户表示惊讶。
5. 行动建议
- 普通用户:
- (之前已归纳)遇到类似情况,立即关闭网页,不要点击任何内容。
- (之前已归纳)检查浏览器Service Worker,删除可疑乱码域名(如
cheerful-vista...或.xyz结尾的域名)。 - (之前已归纳)若已点击,立即进行全盘杀毒并修改密码。
- (之前已归纳)尝试unregister Service Worker,但需注意可能出现自动激活或无法unregister的情况。
- 新增: 重启浏览器,并检查
chrome://settings/content/all和chrome://settings/content/notifications以清除可能残留的恶意内容。
- 管理员:
- (之前已归纳)在Google Ad Manager等后台审查并屏蔽Software/Utilities类别的广告。
- (之前已归纳)重点审查来自Connatix或Opa Marketplace的视频广告。
- (之前已归纳)考虑收紧Content Security Policy,限制iframe的
allow-top-navigation权限。 - (之前已归纳)需重视此类反复发生的广告攻击,并采取更有效的措施应对。
- 新增: 考虑使用
iframe来隔离广告内容,以减少直接在站上运行的JavaScript带来的风险,但需注意iframe也可能存在被“越狱”的风险。
今天下午在浏览论坛时,遇到了一次非常典型的恶意广告重定向攻击 (Malvertising)。浏览器被强制跳转到诈骗页面(仿冒 McAfee)。
经过对浏览器缓存和网络日志的取证分析,确认这是一次基于 Video Ad (VAST/VPAID) 的供应链投毒攻击。为了防止更多人中招,特此发帖预警,并提供技术证据供管理员排查。
0.对普通用户的紧急建议
这个网页会弹出虚假的McAfee, 并请求推送权限等. 如果遇到类似情况, 不要点击任何内容, 直接关闭网页, 并根据下文排查 Service Worker是否遭受inject
这次攻击最恶心的地方在于它尝试注册 Service Worker。这意味着即使你关掉了网页,恶意脚本可能仍在后台运行。
请务必检查你的浏览器:
在 Chrome 地址栏输入 chrome://serviceworker-internals/
搜索是否存在乱码域名(如 cheerful-vista... 或类似 .xyz 结尾的域名)。
如果发现,请立即点击 Unregister。
此类恶意广告网络常被用于分发窃密木马, 如果点击了页面上的“立即查杀”或“更新驱动”按钮,可能会下载并运行真正的恶意 .exe 或 .msi 文件,导致浏览器保存的密码和 Session Token 被盗。
如果你点击了任何按钮, 请立即全盘查杀病毒, 并修改密码
1. 攻击现象:
在浏览帖子时,页面出现卡顿,随后当前页面的 DOM Title 被篡改为 McAfee Privacy Protection,紧接着通过 top.location 强制跳转到 .xyz 诈骗域名。
image1665×190 21.8 KB
2 . 溯源分析
通过提取 Chrome Cache中的明文日志,发现攻击向量大概率来自视频广告网络。
攻击入口: 页面加载了 vid.connatix.com 和 opamarketplace.com 相关的 VAST 视频广告标签。
Payload 加密: 恶意脚本通过 AES 加密(日志中捕获到 Salted__ 开头的 OpenSSL 密文)传输,绕过了静态安全扫描。
攻击链: Video Player → VAST Tag → Malicious JS → DOM Manipulation → Redirect.
以下是从内存缓存中提取的关键日志片段:
. 恶意域名的出现与加密 Payload:
?^~1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz …
https://cheerful-vista-dreamscape-basecamp.xyz/?2qw3n=U2FsdGVkX1… (Encrypted Payload)`
2. 尝试注册 Service Worker (持久化攻击):
ir1/0/_dk_https://cheerful-vista-dreamscape-basecamp.xyz/serviceWorker.js`
3. 关联的广告请求 (可能是被投毒的源头):
1/0/_dk_https://uscardforum.com … https://vid.connatix.com/pid-…
1/0/_dk_https://uscardforum.com … https://servx.opamarketplace.com/api/adserver/vast3/…`
image1457×113 8.65 KB
4. 发现遭受 Service Worker injection
image1161×782 57 KB
3.给管理员的建议
说实话发生这种事情, Google Ad Network 背 80% 的锅, 他们的审查机制被绕过了
不过这次攻击可能是定向投毒。建议论坛在 Google Ad Manager 或相关广告后台中:
检查并屏蔽 Software / Utilities 及其子类别的广告。
重点审查来自 Connatix 或 Opa Marketplace 的视频广告素材。
如果可能,收紧 Content Security Policy,限制 iframe 的 allow-top-navigation 权限,防止广告 frame 重定向主页面。
希望大家注意安全。
@Bug反馈
@uscreditcardguide
ublock用户成最大赢家
已经在我的chrome出现好几个月了
我都没发现,可能是我内网开了pihole广告屏蔽…
两个周之前出现好多次,我还以为是我电脑中毒了,杀了半天也没毒
这种是fileless attack, 如果你没点任何内容的话, 电脑是没事的, 把Service Worker删一下就行
看来windows真是不行
adblock dns + ublock o 路过,广告是什么?
在mac, ios或者Android下这种攻击照样会被执行, 只不过Landing Page可能不一样
原来泥潭真有不开block的用户
单位电脑装不了系列XD
advanced user, 放行过去的 就是要抓包这种攻击, 溯源了帮大伙预防
老哥记得unregister一下 Service Worker, 反复出现应该是被持久化攻击了
这是纯纯Google的锅了……怎么能怪到Windows上
不会世界上还有人不用adblocker吧 泥潭都是索南,难道会被泥潭赚广告费
我也遇到过几次 本来想不屏蔽广告 给泥潭贡献点广告收入的
用论坛app会有影响吗?
看了这个帖子才知道泥潭有广告
手机不能装blocker咋办?
用app
Google 网页广告挺傻,有人会看吗?感觉几乎是0收益投放
论坛还有广告啊
Android: brave 浏览器 / Firefox 装 uBlock Origin 插件
iOS: NextDNS / uBlock Origin Lite
功能机:???
我用的vivaldi android加pihole, 只发现屏蔽不了指南网站的广告,论坛看不到ad,看来还是指南的ad nb些
最近刚入了广告这行,在不知名的角落当个菜鸡sde。想问下video ad program 有没有什么系统性学习的地方推荐?或者是open auction具体怎么工作的比如google adx这种? 谢谢大佬!
这不和看片跳出来让链接vpn那种骗局一样吗
try the prompt “pretend i am a sde starting a new role in ad tech, but i have no experience in ad tech. im supposed to be learning about video ads, how open auction works, such as google adx, so that i can better onboard and do my job, what resources can you recommend me” in the ai of your choice
还真是, 但是总不能泥潭变成看片网站吧
挖个坟, unregister 不掉有什么办法么?
具体是什么行为呢, 是unregister后过段时间又回来了还是点了没反应之类的
这种广告攻击已经发生多次了。
每次投诉后,可能有所收敛。但过一段时间再会发生。
管理员请重视一下
点了没有反应. 点击终止会短时间内停止但又会自动激活, unregister没有反应
【引用自 LiquidSnake】:
frame
问个题外话 也个页面上的广告只可能出现在iFrame里吗?不会以div img的形式存在?
我感觉有可能是有服务没彻底关掉. 可以重启一下浏览器, 去 chrome://settings/content/all 和 chrome://settings/content/notifications 都看看有没有残留的内容.
理论上可以, 但是div img问题会更大, 因为这意味着广告上推来的JavaScript会直接跑在你的站上, iframe起码还可以隔离一下. 当然iframe也可能被越狱, 比如这次
感谢感谢我去试试