据The Hacker News消息,研究人员发现,一种新型恶意广告活动正伪装成 Windows 新闻门户网站,传播含有恶意软件的虚假CPU-Z 系统分析工具。
虽然众所周知,恶意广告活动会建立对应软件的山寨网站来冒充,但此次活动却是模仿了新闻门户网站(WindowsReport.com) ,其目标是针对在 Google 等搜索引擎上搜索 CPU-Z 的用户,通过呈现恶意广告,将这些用户重定向到虚假门户 (workspace-app[.]online)。
通过谷歌搜索呈现的恶意广告引导用户至虚假Windows新闻门户
恶意网站上托管的已签名 MSI 安装程序包含一个恶意 PowerShell 脚本,即一个名为 FakeBat(又名 EugenLoader)的加载程序,充当在受感染主机上部署 RedLine Stealer 的管道。
这绝非谷歌流行软件的欺骗性广告第一次成为恶意软件的传播媒介。就在不久前,网络安全公司 eSentire 披露了一个被称之为Nitrogen 的恶意活动,该活动被认为是 BlackCat 勒索软件攻击d 前奏。
加拿大网络安全公司记录的另外两项活动表明,近几个月来已出现利用将用户引导至可疑网站的偷渡式下载方法来传播NetWire RAT、DarkGate和DanaBot等各种恶意软件系列,表明攻击者正继续越来越多地依赖 NakedPages、Strox 和 DadSec 等 "中间对手"(AiTM)网络钓鱼工具包绕过多因素身份验证并劫持目标账户。
此外,eSentire 还呼吁人们关注一种被称为 Wiki-Slack 攻击的新方法,这种用户定向攻击手法旨在通过篡改维基百科文章第一段末尾并在 Slack 上共享,将受害者引向攻击者控制的网站。具体来说,当维基百科 URL 在企业消息平台中以预览形式呈现时,利用 Slack 中 "错误处理第一段和第二段之间空白 "的缺陷自动生成链接。
实施这种攻击的一个关键前提在于维基百科文章中第二段的第一个词必须是顶级域(如 in、at、com 或 net),而且这两段应出现在文章的前 100 个字内。
有了这些条件,攻击者就可以将这种行为武器化,使 Slack 格式的共享页面预览结果指向一个恶意链接,一旦受害者点击该链接,就会落入攻击者设好的陷阱当中。
