Google 广告中的“消息应用程序”下载投放 RAT 木马瞄准中文用户
2024-1-29 16:4:58 Author: hackernews.cc(查看原文) 阅读量:6 收藏

中文用户已成为通过Telegram等消息应用程序传播的恶意 Google 广告的攻击目标。

Malwarebytes 在周四的一份报告中表示:“攻击者正在滥用 Google 广告商帐户来创建恶意广告,将毫无戒心的用户指向下载远程管理木马 (RAT) 的页面。” “此类程序使攻击者能够完全控制受害者的计算机,并能够删除其他恶意软件。”

该活动代号为FakeAPP ,是2023 年 10 月下旬针对在搜索引擎上搜索 WhatsApp 和 Telegram 等消息应用程序攻击浪潮的延续。

该活动的最新版本还将消息应用程序 LINE 添加到消息应用程序列表中,将用户重定向到 Google 文档或 Google 协作平台上托管的虚假网站。

Google 基础设施用于嵌入到攻击者控制下的其他站点的链接,以便提供最终部署PlugX和Gh0st RAT等木马的恶意安装程序文件。

Malwarebytes 表示,它追踪到欺诈性广告来自两个位于尼日利亚的广告商帐户,分别为Interactive Communication Team Limited和Ringier Media Bulgaria Limited 。

攻击者似乎通过不断推送新的有效负载和基础设施作为命令和控制(C2)服务器,优先考虑数量而非质量。

这一进展正值 Trustwave SpiderLabs 披露名为Greatness的网络钓鱼即服务 (PhaaS) 平台的使用激增之际,该平台用于创建针对 Microsoft 365 用户的看似合法的凭据收集页面。

微信图片_20240129102629

该公司表示:“该工具包允许个性化发件人姓名、电子邮件地址、主题、消息、附件和二维码,从而增强相关性和参与度。”并补充说,它配备了反检测措施,例如随机标头、编码和混淆,旨在绕过垃圾邮件过滤器和安全系统。

Greatness 以每月 120 美元的价格出售给其他犯罪分子,有效降低了进入门槛,帮助他们进行大规模攻击。

攻击链需要发送带有恶意 HTML 附件的网络钓鱼电子邮件,当收件人打开这些附件时,会将其引导至虚假登录页面,该页面捕获输入的登录凭据,并通过 Telegram 将详细信息上传给攻击者。

其他感染序列利用附件在受害者的计算机上投放恶意软件,以促进信息盗窃。

为了增加攻击成功的可能性,电子邮件会欺骗银行和雇主等受信任的来源,并使用“紧急发票付款”或“需要紧急帐户验证”等主题引发错误的紧迫感。

Trustwave 表示:“目前受害者人数尚不清楚,但 Greatness 得到了广泛使用和良好支持,其自己的 Telegram 社区提供了有关如何操作该工具包的信息,以及其他提示和技巧。”

640 (2)

据观察,网络钓鱼攻击还利用冒充 Kakao 等科技公司的诱饵来攻击韩国公司,通过恶意 Windows 快捷方式 (LNK) 文件分发 AsyncRAT。

AhnLab 安全情报中心 (ASEC)表示:“伪装成合法文档的恶意快捷方式文件正在不断传播。” “用户可能会将快捷方式文件误认为是普通文档,因为‘.LNK’扩展名在文件名上不可见。”


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/5cwfbe3hvy-rbocUExnCRg

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/49626
如有侵权请联系:admin#unsafe.sh