威胁行为者正在利用操纵的搜索结果和虚假的 Google 广告来欺骗那些想要下载 WinSCP 等合法软件的用户来安装恶意软件。
网络安全公司 Securonix 正在追踪名为SEO#LURKER 的持续活动。
安全研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与 The Hacker 分享的一份报告中表示:“恶意广告将用户引导至受感染的 WordPress 网站 gameeweb[.]com,该网站将用户重定向至攻击者控制的网络钓鱼网站”消息。
据信,威胁行为者会利用 Google 的动态搜索广告 ( DSA ),该广告会根据网站内容自动生成广告,以投放恶意广告,将受害者带到受感染的网站。
复杂的多阶段攻击链的最终目标是诱使用户点击虚假的、相似的 WinSCP 网站 winccp[.]net 并下载恶意软件。
研究人员表示:“从 gaweeweb[.]com 网站到假的 winsccp[.]net 网站的流量依赖于正确设置的正确引用标头。” “如果引荐来源网址不正确,则用户将被标记为‘ Rickrolled ’,并被发送到臭名昭著的 Rick Astley YouTube 视频。”
最终的有效负载采用 ZIP 文件(“WinSCP_v.6.1.zip”)的形式,该文件附带一个安装可执行文件,该文件在启动时采用 DLL侧面加载来加载和执行名为 python311.dll 的 DLL 文件,该文件存在于档案。
该 DLL 会下载并执行合法的 WinSCP 安装程序以继续实施该诡计,同时在后台悄悄投放 Python 脚本(“slv.py”和“wo15.py”)以激活恶意行为。它还负责设置持久性。
这两个 Python 脚本都旨在与远程参与者控制的服务器建立联系,以接收进一步的指令,从而允许攻击者在主机上运行枚举命令。
研究人员表示:“鉴于攻击者利用 Google Ads 传播恶意软件,可以相信目标仅限于任何寻求 WinSCP 软件的人。”
“托管恶意软件的网站上使用的地理封锁表明,美国境内的人是这次攻击的受害者。”
这并不是 Google 的动态搜索广告第一次被滥用来传播恶意软件。上个月末,Malwarebytes揭露了一项针对搜索 PyCharm 的用户的活动,该活动包含指向托管流氓安装程序的被黑网站的链接,该安装程序为部署信息窃取恶意软件铺平了道路。
过去几年,恶意广告在网络犯罪分子中越来越流行,近几个月来,大量恶意软件活动都使用这种策略进行攻击。
本周早些时候,Malwarebytes 还透露2023 年 10 月信用卡窃取活动有所增加,据估计,这些活动已危害数百个电子商务网站,目的是通过注入令人信服的伪造支付页面来窃取财务信息。
原文来自:thehackernews.com
原文链接:https://thehackernews.com/2023/11/beware-malicious-google-ads-trick.html
欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!
原文始发于微信公众号(邑安全):当心:恶意 Google 广告诱骗 WinSCP 用户安装恶意软件
评论