近来,有安全人员发现有黑客再次乱用谷歌广告向方针用户发送信息盗取歹意软件,这次他们运用广告盯梢功用,向企业用户发送 Slack 和 Notion 等盛行协作群件的虚伪广告。
本周,AhnLab 安全情报中心(ASEC)的研究人员发布的文章中说到,黑客运用了核算功用嵌入传达歹意软件(包含 Rhadamanthys 盗取程序)的 URL。该功用答应广告商在广告中刺进外部剖析网站地址,以搜集和运用拜访者的拜访有关数据来核算广告流量。
但研究人员发现,黑客并没有刺进外部核算网站的 URL,而是乱用该功用进入网站分发歹意代码。现在此类广告已被删去。但依据ASEC的说法,当这些广告仍处于“活动”状况时,若用户不小心点击了横幅广告,仍然会跳转到下载歹意文件的页面。
在相似的进犯活动中,Rhadamanthys 假装成了企业常用的装置程序。一旦歹意软件被装置和履行,它就会从黑客的服务器下载歹意文件和有效载荷。
ASEC在其发布的博文中说到:歹意软件一旦被履行,就会运用能够保存文本的网站(如textbin或tinyurl)来拜访歹意有效载荷地址。一起,他们还列出了黑客用来获取这些地址的URL,这些地址随后会被发送给用户。
据 ASEC 称,该活动的终究有效载荷是 Rhadamanthys 盗取程序,它会经过%system32%途径注入到合法的 Windows 文件中。研究人员指出,这使得盗取程序能在用户不知情的情况下盗取用户的私家数据。
Rhadamanthys一个十分受黑客欢迎的信息盗取软件,能够在暗网上经过歹意软件即服务的形式购买。它是一个典型的盗取程序,可用于搜集体系信息,如核算机称号、用户名、操作体系版别和其他机器概况信息。它还会查询已装置浏览器(包含 Brave、Edge、Chrome、Firefox、Opera Software)的目录,查找并盗取浏览器历史记录、书签、cookie、主动填充、登录凭据和其他数据。
事实上,这并非黑客初次乱用谷歌广告及其相关功用来传达 Rhadamanthys 和其他歹意软件,也很或许不是最终一次。上一年 1 月,就曾有研究人员发现的黑客运用了谷歌广告的网站重定向和盛行长途作业软件(如 Zoom 和 AnyDesk)的虚伪下载钓饵来传达 Rhadamanthys。
黑客乃至还会乱用该服务的 动态查找广告 功用,经过创立有清晰的目的性的广告来发送很多歹意软件,然后扩展歹意活动的作用。
ASEC正告称,因为 一切供给追寻功用以核算广告流量的查找引擎都或许被用来传达歹意软件,因而用户在拜访谷歌供给的广告链接时一定要保持警惕。用户应 留意拜访网站时看到的 URL,而不是广告横幅上显现的 URL,以防止落入歹意活动的骗局。
此外,ASEC 还发布了一份与该活动不同阶段相关的 URL 归纳列表,以协助管理员辨认是否有企业用户遭到该活动的影响。
