近日,安全研究人员披露有攻击者利用Google Ads(谷歌广告)来传播窃取信息的恶意软件,这一次他们利用广告跟踪功能,通过 Slack 和 Notion 等流行协作组件的虚假广告来引诱企业用户。
AhnLab 安全情报中心 (ASEC) 的研究人员在本周发布的博客文章中披露他们发现了一种恶意活动,该活动利用统计功能嵌入分发恶意软件的 URL,其中包括 Rhadamanthys 窃取程序。该功能允许广告商将外部分析网站地址插入到广告中,以收集和使用访问者的访问相关数据来计算广告流量。
然而,研究人员发现,攻击者并没有插入外部统计站点的 URL,而是利用该功能进入站点来分发恶意代码。目前与该活动相关的广告已被删除。但根据 ASEC 的说法,当它们仍然活跃时,点击横幅会将毫无戒心的用户带到诱骗他们下载恶意文件的地址。
在该活动中,Radamanthys 伪装成企业团队经常用于工作协作的安装程序。一旦恶意软件安装并执行,它就会从攻击者的服务器下载恶意文件和有效载荷。
重定向到窃取下载
ASEC 详细介绍了攻击者如何精心策划该活动,以显示包含最终用户不可见的跟踪 URL 的横幅广告,这些跟踪 URL 将用户重定向到攻击者创建和控制的 URL。这个最终登陆页面类似于 Slack 或 Notion 等群件工具的实际网站,它提示访问者下载并执行以安装程序形式分发的恶意软件。
该活动使用的典型安装程序是 Inno Setup 安装程序或 Nullsoft Scriptable Install System (NSIS) 安装程序。具体来说,攻击者使用了以下可执行文件:Notion_software_x64_.exeSlack_software_x64_.exe、 Trello_software_x64_.exe、 GoodNotes_software_x64_32.exe。
ASEC 表示,一旦恶意软件执行,就会使用可以保存文本的网站(例如 textbin 或tinyurl)来访问恶意URL。该活动的最终有效负载是Rhadamanthys 窃取程序,它通过“%system32%”路径注入合法的 Windows 文件,这使得攻击者可以在用户不知情的情况下窃取他人隐私数据。
Rhadamanthys 是一款很受黑客欢迎的软件,它可以通过恶意软件即服务模式在暗网上购买。它作为典型的窃取程序,会收集系统信息例如计算机名称、用户名、操作系统版本和其他计算机详细信息。它会查询已安装浏览器的目录(包括 Brave、Edge、Chrome、Firefox、Opera Software),搜索和窃取浏览器历史记录、书签、cookie、自动填充、登录凭据和其他数据。
注意广告所跳转的URL
该活动不是攻击者第一次滥用 谷歌嗷及其相关功能来传播 Rhadamanthys 和其他恶意软件,而且很可能不会是最后一次。事实上,2023 年 1 月发现的一项活动还使用谷歌广告的网站重定向和流行远程办公软件(例如 Zoom 和 AnyDesk)的虚假下载诱饵来传播 Rhadamanthys。
攻击者甚至滥用该服务的“动态搜索广告”功能,通过创建有针对性的广告来传播大量恶意软件,从而放大恶意活动的影响。
ASEC 警告称,由于所有提供跟踪来计算广告流量的搜索引擎都可以用来传播恶意软件,用户在访问 Google 提供的广告链接时必须保持警惕。用户应该注意访问网站时看到的 URL,而不是广告横幅上显示的 URL,以避免遭受恶意攻击。
ASEC 还发布了与该活动各个阶段相关的 URL 的完整列表,以帮助管理员确定是否有任何企业用户受到其影响。
原文地址:https://www.darkreading.com/cyberattacks-data-breaches/attackers-use-google-ad-feature-to-target-slack-notion-users
图片来源:https://www.darkreading.com/cyberattacks-data-breaches/attackers-use-google-ad-feature-to-target-slack-notion-users
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
