近日据外媒报道，安全公司 FireEye 研究人员 Zain Gardezi 与 Manish Sardiwal 近期发现：黑客利用 Neptune 漏洞开发工具包通过合法网站弹出的虚假广告将用户重定向至特定网页，并利用浏览器漏洞投放挖矿工具。

图1. 遭受 Neptune 漏洞开发工具包影响的国家分布情况

调查显示，攻击者在某知名徒步旅游网站上伪造看似 “ 合法 ” 的弹出式广告窗口，诱导用户点击后重定向至特定页面，并通过检测 IE 浏览器漏洞确定是否投放挖矿工具。这些虚假广告多数情况出现在高流量领域或多媒体托管网站。一旦用户被重定向后会立即下载恶意软件。目前，研究人员尚未透露弹出式广告服务商名称，但强调了该企业在 Alexa 排名前 100。

漏洞开发工具包的登录页面运行多处漏洞，其中包括瞄准 IE 网站展开攻击的三处漏洞（ CVE-2016189、CVE-2015-2419、CVE-2014-6332），及以 Flash 为目标的两处漏洞（CVE-2015-8651、CVE-2015-7645） 。

研究人员表示，此类攻击活动主要是黑客通过开发工具包领域的统一资源标识符（URI）将 payload 作为普通可执行文件运行。目标设备被感染后就会尝试使用攻击者电子邮件地址账号登录到加密货币采矿池 minergate[.]com。

图2. 虚假广告页面