Bing 广告冒充 NordVPN 旨在传播 SecTopRAT 恶意软件

阅读量58892

发布时间 : 2024-04-08 11:16:04

人们发现,一则看似安装 NordVPN 链接的 Bing 广告会指向远程访问木马 SecTopRAT 的安装程序。

Malwarebytes Labs于周四发现了这一恶意广告活动,用于恶意广告的域名是在一天前创建的。 URL (nordivpn[.]xyz) 的设计看起来像合法的 NordVPN 域。广告链接重定向到另一个带有误植 URL 的网站 (besthord-vpn[.]com) 和真实 NordVPN 网站的副本。

欺诈网站上的下载按钮会导致包含安装程序 NordVPNSetup.exe 的 Dropbox。该可执行文件包括真正的 NordVPN 安装程序和恶意软件负载,该负载被注入 MSBuild.exe 并连接到攻击者的命令和控制 (C2) 服务器。

威胁行为者尝试对恶意可执行文件进行数字签名,但发现签名无效。然而,Malwarebytes ThreatDown 实验室的首席威胁研究员 Jérôme Segura 周五告诉 SC Media,他后来发现该可执行文件具有有效的代码签名证书。

Segura 表示,一些安全产品可能会因其无效签名而阻止可执行文件,但是,“也许更好的规避技术是动态进程注入,将恶意代码注入到合法的 Windows 应用程序中。”

“最后,我们应该注意到,该文件包含 NordVPN 的安装程序,这很可能会阻止整个可执行文件的检测,”Segura 补充道。

恶意负载 SecTopRAT,也称为 ArechClient,是一种远程访问木马 (RAT),最初由 MalwareHunterTeam 于 2019 年 11 月发现,不久后由 G DATA 的研究人员进行分析。研究人员发现,RAT 创建了一个“隐形”的第二个桌面,使攻击者能够控制受害者系统上的浏览器会话。

SecTopRAT还能够向攻击者的C2服务器发送系统信息,例如系统名称、用户名和硬件信息。

Malwarebytes 向拥有 Bing 的微软和 Dropbox 报告了该恶意软件活动。 Dropbox 此后删除了存储恶意软件的帐户,Segura 表示,截至周五,他的团队尚未收到微软的回复。

“我们确实注意到威胁行为者昨晚更新了他们的基础设施,也许是对我们的报告的反应。他们现在将受害者重定向到一个新的域名 theordvpn[.]info ,这可能表明恶意广告活动仍然活跃,可能是在另一个广告商身份下,”Segura 说。

过去曾发现过其他传播 SecTopRAT 的恶意广告活动。 2021 年,Ars Technica 报道了一场利用 Google 广告宣传 Brave 浏览器的活动。

去年 10 月,威胁行为者结合使用恶意广告、搜索引擎优化 (SEO) 中毒和被破坏的网站来诱骗用户安装包含GHOSTPULSE 恶意软件加载程序的虚假 MSIX Windows 应用程序包。安装后,GHOSTPULSE 使用进程分身来促进多种恶意软件的执行,包括 SecTopRAT。

本文转载自:

如若转载,请注明出处: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66