东南亚和东亚讲中文的人是新的流氓Google Ads广告系列的目标,该广告系列向受感染的计算机提供远程访问木马,例如FatalRAT。
ESET在今天发布的一份报告中表示,这些攻击涉及购买广告位以出现在Google搜索结果中,将搜索流行应用程序的用户引导到托管木马安装程序的流氓网站。此后,这些广告已被撤下。一些欺骗性应用程序包括Google Chrome,Mozilla Firefox,Telegram,WhatsApp,LINE,Signal,Skype,Electrum,搜狗拼音方法,有道和WPS Office。
这家斯洛伐克网络安全公司表示:“从其中下载的网站和安装程序大多是中文的,在某些情况下错误地提供了中国没有的软件的中文版本,”并补充说,它观察到了 2022 年 8月至 2023 年 1 月期间的攻击。
大多数受害者位于台湾、中国和香港,其次是马来西亚、日本、菲律宾、泰国、新加坡、印度尼西亚和缅甸。攻击最重要的方面是创建具有域名仿冒域的类似网站来传播恶意安装程序,为了保持诡计,安装合法软件,但也丢弃部署 FatalRAT 的加载程序。
通过这样做,它授予攻击者对受害计算机的完全控制权,包括执行任意 shell 命令、运行文件、从 Web 浏览器收集数据以及捕获击键。“攻击者在用于其网站的域名上花费了一些精力,试图尽可能与官方名称相似,”研究人员说。“在大多数情况下,虚假网站是合法网站的相同副本。
在趋势科技披露紫狐活动不到一年后,调查结果就出现了,该活动利用模仿Adobe,Google Chrome,Telegram和WhatsApp的受污染软件包作为传播FatalRAT的到达媒介。
它们也是在更广泛的滥用 Google Ads 来提供各种恶意软件的情况下出现的,或者将用户带到凭据网络钓鱼页面。
在相关的发展中,赛门铁克的威胁猎人团队揭示了另一种恶意软件活动,该活动针对台湾的实体,以前未记录。基于NET的植入物被称为Frebniis。
“Frebniis使用的技术涉及将恶意代码注入DLL文件(iisfreb.dll)的内存中,该文件与用于故障排除和分析失败网页请求的IIS功能相关,”赛门铁克说。
这允许恶意软件秘密监控所有HTTP请求,并识别攻击者发送的特殊格式的HTTP请求,从而允许远程执行代码。这家网络安全公司将入侵归因于身份不明的行为者,目前尚不清楚如何获得对运行互联网信息服务(IIS)服务器的Windows机器的访问权限。
原文始发于微信公众号(黑猫安全):黑客使用谷歌广告伪装成流行应用程序传播 fattalRAT 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论