freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻击者正利用虚假Windows 新闻门户传播恶意软件
2023-11-10 14:41:33
所属地 上海

据The Hacker News消息,研究人员发现,一种新型恶意广告活动正伪装成 Windows 新闻门户网站,传播含有恶意软件的虚假CPU-Z 系统分析工具。

虽然众所周知,恶意广告活动会建立对应软件的山寨网站来冒充,但此次活动却是模仿了新闻门户网站(WindowsReport.com) ,其目标是针对在 Google 等搜索引擎上搜索 CPU-Z 的用户,通过呈现恶意广告,将这些用户重定向到虚假门户 (workspace-app[.]online)。

通过谷歌搜索呈现的恶意广告引导用户至虚假Windows新闻门户

恶意网站上托管的已签名 MSI 安装程序包含一个恶意 PowerShell 脚本,即一个名为 FakeBat(又名 EugenLoader)的加载程序,充当在受感染主机上部署 RedLine Stealer 的管道。

这绝非谷歌流行软件的欺骗性广告第一次成为恶意软件的传播媒介。就在不久前,网络安全公司 eSentire 披露了一个被称之为Nitrogen 的恶意活动,该活动被认为是 BlackCat 勒索软件攻击d 前奏。

加拿大网络安全公司记录的另外两项活动表明,近几个月来已出现利用将用户引导至可疑网站的偷渡式下载方法来传播NetWire RAT、DarkGate和DanaBot等各种恶意软件系列,表明攻击者正继续越来越多地依赖 NakedPages、Strox 和 DadSec 等 "中间对手"(AiTM)网络钓鱼工具包绕过多因素身份验证并劫持目标账户。

此外,eSentire 还呼吁人们关注一种被称为 Wiki-Slack 攻击的新方法,这种用户定向攻击手法旨在通过篡改维基百科文章第一段末尾并在 Slack 上共享,将受害者引向攻击者控制的网站。具体来说,当维基百科 URL 在企业消息平台中以预览形式呈现时,利用 Slack 中 "错误处理第一段和第二段之间空白 "的缺陷自动生成链接。

实施这种攻击的一个关键前提在于维基百科文章中第二段的第一个词必须是顶级域(如 in、at、com 或 net),而且这两段应出现在文章的前 100 个字内。

有了这些条件,攻击者就可以将这种行为武器化,使 Slack 格式的共享页面预览结果指向一个恶意链接,一旦受害者点击该链接,就会落入攻击者设好的陷阱当中。

参考来源:

New Malvertising Campaign Uses Fake Windows News Portal to Distribute Malicious Installers

# 恶意软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者