警惕!通过谷歌和必应搜索广告传播的新型恶意活动

新闻资讯   2023-07-30 10:19   76   0  



据观察,一种新的恶意广告活动利用谷歌搜索和必应的广告,以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标,诱骗他们下载木马安装程序,目的是入侵企业网络,并可能在未来实施勒索软件攻击。


Sophos在周三的一份分析报告中称,这种 "机会主义 "活动被称为 "Nitrogen",旨在部署Cobalt Strike等第二阶段攻击工具。


eSentire 在 2023 年 6 月首次记录了 Nitrogen,详细描述了一个感染链,它将用户重定向到受攻击的 WordPress 网站,最终将 Python 脚本和 Cobalt Strike Beacons 发送到目标系统上。


Sophos 研究人员表示:"在整个感染链中,威胁方使用不常见的导出转发和 DLL 预加载技术来掩盖其恶意活动“。


Python 脚本一旦启动,就会建立一个 Meterpreter 反向 TCP 外壳,从而允许攻击者在受感染的主机上远程执行代码,并下载一个 Cobalt Strike Beacon 以便后期利用。


研究人员说:搜索引擎内显示的广告已成为攻击者常用的手段。通过广撒网的方式,诱使毫无戒心的用户点击并下载。


这其中包括,网络犯罪分子利用付费广告引诱用户访问恶意网站,诱使他们下载 BATLOADER、EugenLoader(又名 FakeBat)和 IcedID 等多种恶意软件,然后利用这些恶意软件传播信息窃取程序和其他有效载荷。

不仅如此,Sophos 还说它在著名的暗网市场上发现了 "大量关于SEO中毒,恶意广告和相关服务的广告和讨论”,以及提供受损Google Ads帐户的卖家。


这也进一步说明 "攻击者对 SEO 中毒和恶意广告有着浓厚的兴趣"。

参考链接:https://thehackernews.com/2023/07/new-malvertising-campaign-distributing.html

FreeBuf粉丝交流群招新啦!

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”,申请加入群聊



https://thehackernews.com/2023/07/new-malvertising-campaign-distributing.html




文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!

博客评论
还没有人评论,赶紧抢个沙发~
发表评论
说明:请文明发言,共建和谐网络,您的个人信息不会被公开显示。