當代網路威脅已進化至令人不安的精密程度，其中「零點擊」（Zero-click）攻擊因其無需使用者任何互動即可完成入侵的能力，被認為是最高級別的威脅之一。近期，安全研究人員揭露了與以色列監控公司Intellexa相關的Predator間諜軟體所採用的一種新興感染向量——名為「Aladdin」的機制。這項技術的出現，標誌著間諜軟體供應商在入侵手段上實現了又一次質的飛躍，將攻擊的隱蔽性與目標的精準性推向極致，使得傳統的安全防禦邊界幾乎失效。

來自監控公司 Intellexa 的 Predator 間諜軟體一直使用一種名為「Aladdin」的零點擊感染機制，只需查看惡意廣告即可入侵特定目標。此機制強制將武器化廣告投放到透過公用 IP 位址和其他識別碼識別的特定目標上，並透過需求方平台 (DSP) 指示平台在參與廣告網路的任何網站上投放廣告，這種惡意廣告可以投放在任何顯示廣告的網站上，例如受信任的新聞網站或行動應用程序，並且看起來就像目標用戶可能看到的任何其他廣告一樣。Aladdin 於 2024 年首次部署，據信仍在運行並積極開發中，它利用商業行動廣告系統來傳播惡意軟體，這種強大且先前未知的感染媒介被精心隱藏在遍布多個國家的空殼公司背後，雖然目前尚無關於該感染如何運作的詳細信息，但谷歌提到，這些廣告會觸發重定向到 Intellexa 的漏洞程式分發伺服器。抵禦這些惡意廣告很複雜，但封鎖瀏覽器上的廣告是一個很好的起點，另一種可能的防禦措施是將瀏覽器設定為對追蹤器隱藏公共 IP 位址。隨著 Predator 病毒變得越來越隱蔽，越來越難以追踪，建議用戶考慮在行動裝置上啟用額外的保護措施，例如Android 上的高級保護和iOS 上的鎖定模式。

「Aladdin」的關鍵特徵在於其對商業行動廣告系統（Malvertising）的武器化利用。過往的惡意廣告通常是廣泛撒網，但Predator的此項技術卻能高度精準地鎖定特定目標，利用公用IP地址作為主要識別碼，確保惡意負載只對極少數被鎖定的目標設備顯示和執行。這種透過需求方平台（DSP）進行的精準廣告投放，將惡意廣告滲透到了看似安全、日常瀏覽的各大網站和應用程式中，包括被廣泛信賴的新聞網站，極大降低了目標用戶的警覺性。更令人擔憂的是，零點擊攻擊的特性意味著用戶甚至不需要點擊廣告，僅僅是廣告在瀏覽器或應用程式中被載入的那一瞬間，可能就足以觸發漏洞利用和後續的重定向到Predator的漏洞程式伺服器，從而在後台完成間諜軟體的安裝。這使得這種攻擊不僅難以防範，更難以在事後追溯其入侵的初始點。由於這種感染媒介被巧妙地隱藏在一層又一層的空殼公司背後，追蹤其來源與運作機制變得極為困難，凸顯了在複雜廣告技術供應鏈中進行防禦的複雜性。面對這種高度隱蔽且鎖定目標的威脅，用戶必須採取主動防禦策略：首先，全面封鎖瀏覽器和行動應用程式中的廣告是首要的基礎防禦措施，這能有效地阻斷「Aladdin」的傳播媒介。其次，考慮使用技術手段隱藏或混淆公共IP地址，以破壞其高度精準的目標鎖定機制。最後，對於高風險目標用戶，在行動裝置上啟用作業系統提供的高級安全功能，例如Android上的「高級保護」（Advanced Protection）和iOS上的「鎖定模式」（Lockdown Mode），可以顯著限制系統和應用程式的功能，從而減少潛在的攻擊面，為應對Predator這類日益精密的國家級間諜軟體提供額外的安全保障。

資料來源：https://www.bleepingcomputer.com/news/security/predator-spyware-uses-new-infection-vector-for-zero-click-attacks/