最近,安全研究員注意到通過谷歌上的惡意廣告進行傳播的攻擊有所增加,這些攻擊旨在部署資訊竊密程式。當在谷歌上檢索 Notepad++、Zoom、AnyDesk、Foxit、Photoshop 等流行工具時,就有可能遇到惡意廣告。
攻擊活動
2023 年 1 月 25 日,DarkTrace 的研究人員發現在美國境内搜尋 Notepad++ 時,谷歌顯示了如下的廣告:
下圖可以看到,該廣告沒有關于釋出者的可見資訊:
點選廣告後會跳轉至虛假網站,該域名(notepadplusplus.site)于 1 月 4 日注冊,選擇需要的軟體版本後即可下載下傳:
無論選擇下載下傳什麼版本的軟體,都會從 https://download-notepad-plus-plus.duckdns.org/ 下載下傳名為 npp.Installer.x64.zip 的 .zip 檔案。
該檔案多達 684.1MB,其中有大量空位元組。以此防止檔案被上傳到分析平台,例如 VirusTotal 的最大檔案限制為 650MB。
最初填充的零位元組位于末尾,但該檔案位于檔案的中心。
執行後,惡意軟體立即建立與 Telegram 的連接配接來擷取 C&C 伺服器的位址。如果 Telegram 不可用,将會嘗試連接配接到 Steam 上的配置檔案。下載下傳 get.zip 檔案,該壓縮包中包含多個合法 DLL 檔案,用于從各種應用程式和浏覽器宏提取各種資訊。
同類攻擊
分發惡意軟體的域名 download-notepad-plus-plus.duckdns.org 解析的 IP 位址,通過 Passive DNS 可以發現多個域名也解析到該 IP 位址。攻擊者利用許多廣告發起了針對性的攻擊,例如:
OBS Studio
Davinci Resolve
Sqlite
Rufus
Krita
發現的所有樣本都連接配接到相同的 Telegram 頻道,共享 C&C 伺服器位址。
結論
網絡犯罪分子越來越願意利用惡意廣告來傳播惡意軟體,由于惡意廣告更加難以防範。建議在搜尋引擎上檢索軟體時盡量不要點選任何廣告,隻在官方來源進行下載下傳。