人们发现,一则看似安装 NordVPN 链接的 Bing 广告会指向远程访问木马 SecTopRAT 的安装程序。
Malwarebytes Labs于周四发现了这一恶意广告活动,用于恶意广告的域名是在一天前创建的。 URL (nordivpn[.]xyz) 的设计看起来像合法的 NordVPN 域。广告链接重定向到另一个带有误植 URL 的网站 (besthord-vpn[.]com) 和真实 NordVPN 网站的副本。
欺诈网站上的下载按钮会导致包含安装程序 NordVPNSetup.exe 的 Dropbox。该可执行文件包括真正的 NordVPN 安装程序和恶意软件负载,该负载被注入 MSBuild.exe 并连接到攻击者的命令和控制 (C2) 服务器。
威胁行为者尝试对恶意可执行文件进行数字签名,但发现签名无效。然而,Malwarebytes ThreatDown 实验室的首席威胁研究员 Jérôme Segura 周五告诉 SC Media,他后来发现该可执行文件具有有效的代码签名证书。
Segura 表示,一些安全产品可能会因其无效签名而阻止可执行文件,但是,“也许更好的规避技术是动态进程注入,将恶意代码注入到合法的 Windows 应用程序中。”
“最后,我们应该注意到,该文件包含 NordVPN 的安装程序,这很可能会阻止整个可执行文件的检测,”Segura 补充道。
恶意负载 SecTopRAT,也称为 ArechClient,是一种远程访问木马 (RAT),最初由 MalwareHunterTeam 于 2019 年 11 月发现,不久后由 G DATA 的研究人员进行分析。研究人员发现,RAT 创建了一个“隐形”的第二个桌面,使攻击者能够控制受害者系统上的浏览器会话。
SecTopRAT还能够向攻击者的C2服务器发送系统信息,例如系统名称、用户名和硬件信息。
Malwarebytes 向拥有 Bing 的微软和 Dropbox 报告了该恶意软件活动。 Dropbox 此后删除了存储恶意软件的帐户,Segura 表示,截至周五,他的团队尚未收到微软的回复。
“我们确实注意到威胁行为者昨晚更新了他们的基础设施,也许是对我们的报告的反应。他们现在将受害者重定向到一个新的域名 theordvpn[.]info ,这可能表明恶意广告活动仍然活跃,可能是在另一个广告商身份下,”Segura 说。
过去曾发现过其他传播 SecTopRAT 的恶意广告活动。 2021 年,Ars Technica 报道了一场利用 Google 广告宣传 Brave 浏览器的活动。
去年 10 月,威胁行为者结合使用恶意广告、搜索引擎优化 (SEO) 中毒和被破坏的网站来诱骗用户安装包含GHOSTPULSE 恶意软件加载程序的虚假 MSIX Windows 应用程序包。安装后,GHOSTPULSE 使用进程分身来促进多种恶意软件的执行,包括 SecTopRAT。
发表评论
您还未登录,请先登录。
登录