警惕!通过谷歌和必应搜索广告传播的新型恶意活动
source link: https://www.51cto.com/article/761823.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
警惕!通过谷歌和必应搜索广告传播的新型恶意活动
据观察,一种新的恶意广告活动利用谷歌搜索和必应的广告,以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标,诱骗他们下载木马安装程序,目的是入侵企业网络,并可能在未来实施勒索软件攻击。
Sophos在周三的一份分析报告中称,这种 "机会主义 "活动被称为 "Nitrogen",旨在部署Cobalt Strike等第二阶段攻击工具。
eSentire 在 2023 年 6 月首次记录了 Nitrogen,详细描述了一个感染链,它将用户重定向到受攻击的 WordPress 网站,最终将 Python 脚本和 Cobalt Strike Beacons 发送到目标系统上。
Sophos 研究人员表示:"在整个感染链中,威胁方使用不常见的导出转发和 DLL 预加载技术来掩盖其恶意活动“。
Python 脚本一旦启动,就会建立一个 Meterpreter 反向 TCP 外壳,从而允许攻击者在受感染的主机上远程执行代码,并下载一个 Cobalt Strike Beacon 以便后期利用。
研究人员说:搜索引擎内显示的广告已成为攻击者常用的手段。通过广撒网的方式,诱使毫无戒心的用户点击并下载。
这其中包括,网络犯罪分子利用付费广告引诱用户访问恶意网站,诱使他们下载 BATLOADER、EugenLoader(又名 FakeBat)和 IcedID 等多种恶意软件,然后利用这些恶意软件传播信息窃取程序和其他有效载荷。
不仅如此,Sophos 还说它在著名的暗网市场上发现了 "大量关于SEO中毒,恶意广告和相关服务的广告和讨论”,以及提供受损Google Ads帐户的卖家。
这也进一步说明 "攻击者对 SEO 中毒和恶意广告有着浓厚的兴趣"。
参考链接:https://thehackernews.com/2023/07/new-malvertising-campaign-distributing.html
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK