由于犯罪分子使用Google广告来骗局,因此恶意转换置于齿轮上
喜欢指数的未来?加入我们的Xpotential社区,通过Xpotential University的课程进行未来的证明,阅读有关指数技术和趋势,连接,观看Keynote或浏览我的博客。
关于网络安全空间细节的另一个增长趋势已经出现了一项新的高度针对性且复杂的恶意广告活动,该活动利用Google广告将搜索流行软件的用户引导到虚构的着陆页并分发下一阶段有效载荷。发现这项活动的恶意软件说,它“在指纹用户方面是独一无二的,并分发了时间敏感的有效载荷”。
该攻击搜索用户搜索Notepad ++和PDF转换器,以在Google搜索结果页面上提供虚假广告,当单击时,通过显示诱饵站点,该攻击者在单击时过滤了机器人和其他意外的IP地址。
如果访问者认为威胁行为者感兴趣,则受害者将重定向到广告软件的复制网站,同时默默地指纹系统以确定请求是否来自虚拟机。
支票失败的用户被带到合法的记事本++网站,而潜在的目标是为“跟踪目的,但也使每次下载独特且对时间敏感”的唯一ID。
最后阶段恶意软件是HTA有效载荷,该有效载荷在自定义端口上建立了与远程域(Mybigeye [。] ICU”)的连接,并提供后续恶意软件。
“威胁行为者正在成功采用绕过AD验证检查的逃避技术,并允许他们针对某些类型的受害者,”威胁情报主管JérômeSegura说。
“凭借可靠的恶意软件交付链,恶意演员可以专注于改善其诱饵页面和制作自定义恶意软件有效载荷。”
披露与类似的广告系列重叠,该活动针对的是用恶意广告搜索keepass密码管理器的用户,该广告使用punycode(keepass [。]信息与ķeepass[。]信息)将受害者引导到域,这是一种特殊的编码,用于将Unicode字符转换为ASCII。
Segura指出:“单击广告的人将通过掩护服务重定向,该套餐旨在过滤沙箱,机器人以及任何不被视为真正受害者的人。”“威胁参与者在储存[。]网站上建立了一个临时域,该站点将有条件地重定向到最终目的地。”
在诱饵网站上降落的用户被诱骗下载一个恶意安装程序,最终导致执行FakeBat(又名EugenLoader),这是一种设计用于下载其他恶意代码的装载机。
滥用PunyCode并不是完全新颖的,而是将其与Rogue Google广告结合在一起,表明通过搜索引擎恶化越来越复杂。通过使用PunyCode将相似的域名注册为合法站点,目标是进行同型攻击,并引诱受害者来安装恶意软件。
Segura说:“尽管威胁性参与者将具有国际化域名的Punycode用于phish受害者多年,但它表明它在通过恶意变化的品牌模仿的背景下保持效果。”
Speaking of visual trickery, multiple threat actors – TA569 (aka SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake, and EtherHiding – have been observed taking advantage of themes related to fake browser updates to propagate Cobalt Strike, loaders, stealers, and remote access trojans, a sign that these attacks are a constant, evolving threat.
Proofpoint研究员Dusty Miller在本周发布的分析中说:“假浏览器会更新滥用网站的滥用最终用户信任,并通过对用户的浏览器进行定制的诱饵,以使更新合法化并愚弄用户单击。”
“威胁只有在浏览器中,可以通过合法和预期的电子邮件,社交媒体网站,搜索引擎查询,甚至只是导航到折衷的网站来发起。”
