当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件

admin 2023年11月20日20:52:52评论4 views字数 1365阅读4分33秒阅读模式

更多全球网络安全资讯尽在邑安全

当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件
威胁行为者正在利用操纵的搜索结果和虚假的 Google 广告来欺骗那些想要下载 WinSCP 等合法软件的用户来安装恶意软件。
网络安全公司 Securonix 正在追踪名为SEO#LURKER 的持续活动。
安全研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与 The Hacker 分享的一份报告中表示:“恶意广告将用户引导至受感染的 WordPress 网站 gameeweb[.]com,该网站将用户重定向至攻击者控制的网络钓鱼网站消息。
据信,威胁行为者会利用 Google 的动态搜索广告 ( DSA ),该广告会根据网站内容自动生成广告,以投放恶意广告,将受害者带到受感染的网站。
复杂的多阶段攻击链的最终目标是诱使用户点击虚假的、相似的 WinSCP 网站 winccp[.]net 并下载恶意软件。
研究人员表示:“从 gaweeweb[.]com 网站到假的 winsccp[.]net 网站的流量依赖于正确设置的正确引用标头。” “如果引荐来源网址不正确,则用户将被标记为‘ Rickrolled ’,并被发送到臭名昭著的 Rick Astley YouTube 视频。”
最终的有效负载采用 ZIP 文件(“WinSCP_v.6.1.zip”)的形式,该文件附带一个安装可执行文件,该文件在启动时采用 DLL侧面加载来加载和执行名为 python311.dll 的 DLL 文件,该文件存在于档案。

当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件

该 DLL 会下载并执行合法的 WinSCP 安装程序以继续实施该诡计,同时在后台悄悄投放 Python 脚本(“slv.py”和“wo15.py”)以激活恶意行为。它还负责设置持久性。

这两个 Python 脚本都旨在与远程参与者控制的服务器建立联系,以接收进一步的指令,从而允许攻击者在主机上运行枚举命令。

研究人员表示:“鉴于攻击者利用 Google Ads 传播恶意软件,可以相信目标仅限于任何寻求 WinSCP 软件的人。”

“托管恶意软件的网站上使用的地理封锁表明,美国境内的人是这次攻击的受害者。”

这并不是 Google 的动态搜索广告第一次被滥用来传播恶意软件。上个月末,Malwarebytes揭露了一项针对搜索 PyCharm 的用户的活动,该活动包含指向托管流氓安装程序的被黑网站的链接,该安装程序为部署信息窃取恶意软件铺平了道路。

过去几年,恶意广告网络犯罪分子中越来越流行,近几个月来,大量恶意软件活动都使用这种策略进行攻击。

本周早些时候,Malwarebytes 还透露2023 年 10 月信用卡窃取活动有所增加,据估计,这些活动已危害数百个电子商务网站,目的是通过注入令人信服的伪造支付页面来窃取财务信息。

原文来自:thehackernews.com

原文链接:https://thehackernews.com/2023/11/beware-malicious-google-ads-trick.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 


原文始发于微信公众号(邑安全):当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月20日20:52:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件http://cn-sec.com/archives/2223145.html

发表评论

匿名网友 填写信息