近日,有安全人员发现有黑客再次滥用谷歌广告向目标用户发送信息窃取恶意软件,这次他们利用广告跟踪功能,向企业用户发送 Slack 和 Notion 等流行协作群件的虚假广告。
本周,AhnLab 安全情报中心(ASEC)的研究人员发布的文章中提到,黑客利用了统计功能嵌入传播恶意软件(包括 Rhadamanthys 窃取程序)的 URL。该功能允许广告商在广告中插入外部分析网站地址,以收集和使用访问者的访问相关数据来计算广告流量。
但研究人员发现,黑客并没有插入外部统计网站的 URL,而是滥用该功能进入网站分发恶意代码。目前此类广告已被删除。但根据 ASEC 的说法,当这些广告仍处于“活动”状态时,如果用户不小心点击了横幅广告,仍然会跳转到下载恶意文件的页面。
在类似的攻击活动中,Rhadamanthys 伪装成了企业常用的安装程序。一旦恶意软件被安装和执行,它就会从黑客的服务器下载恶意文件和有效载荷。
重定向到窃取下载
ASEC 的帖子详细介绍了黑客是如何精心策划的这一活动。
该活动使用的典型安装程序是 Inno Setup 安装程序或 Nullsoft Scriptable Install System (NSIS) 安装程序;具体而言,黑客使用了以下可执行文件: Notion_software_x64_.exe、Slack_software_x64_.exe、Trello_software_x64_.exe 和 GoodNotes_software_x64_32.exe。
ASEC 在其发布的博文中提到:恶意软件一旦被执行,就会使用可以保存文本的网站(如 textbin 或 tinyurl)来访问恶意有效载荷地址。同时,他们还列出了黑客用来获取这些地址的 URL,这些地址随后会被发送给用户。
据 ASEC 称,该活动的最终有效载荷是 Rhadamanthys 窃取程序,它会通过"%system32%"路径注入到合法的 Windows 文件中。研究人员指出,这使得窃取程序可以在用户不知情的情况下窃取用户的私人数据。
Rhadamanthys 一个非常受黑客欢迎的信息窃取软件,可以在暗网上通过恶意软件即服务的模式购买。它是一个典型的窃取程序,可用于收集系统信息,如计算机名称、用户名、操作系统版本和其他机器详细信息。它还会查询已安装浏览器(包括 Brave、Edge、Chrome、Firefox、Opera Software)的目录,搜索并窃取浏览器历史记录、书签、cookie、自动填充、登录凭证和其他数据。
警惕广告提供的 URL
事实上,这并非黑客首次滥用谷歌广告及其相关功能来传播 Rhadamanthys 和其他恶意软件,也很可能不是最后一次。去年 1 月,就曾有研究人员发现的黑客使用了谷歌广告的网站重定向和流行远程工作软件(如 Zoom 和 AnyDesk)的虚假下载诱饵来传播 Rhadamanthys。
黑客甚至还会滥用该服务的 "动态搜索广告 "功能,通过创建有针对性的广告来发送大量恶意软件,从而扩大恶意活动的效果。
ASEC 警告称,由于 "所有提供追踪功能以计算广告流量的搜索引擎都可能被用来传播恶意软件",因此用户在访问谷歌提供的广告链接时必须保持警惕。用户应 "注意访问网站时看到的 URL,而不是广告横幅上显示的 URL",以避免落入恶意活动的圈套。
此外,ASEC 还发布了一份与该活动不同阶段相关的 URL 综合列表,以帮助管理员识别是否有企业用户受到该活动的影响。