东南亚和东亚讲中文的人是新的恶意谷歌广告(Google Ads)活动的目标,该活动将远程访问木马(如FatalRAT)传送到被攻击的机器。
ESET在今天发布的一份报告中表示,这些攻击涉及购买出现在谷歌搜索结果中的广告位,这些广告位将搜索流行应用程序的用户引导至托管木马化安装程序的流氓网站。目前这些广告已被撤下。
一些被欺骗的应用程序包括Google Chrome、Mozilla Firefox、Telegram、WhatsApp、LINE、Signal、Skype、Electrum、搜狗拼音法、有道和WPS Office。
这家斯洛伐克网络安全公司表示:“从他们那里下载的网站和安装程序大多是中文的,在某些情况下,虚假地提供在中国没有的软件的中文版本。”并补充说它观察到了2022年8月至2023年1月之间的攻击。
大多数受害者位于台湾、中国大陆和香港,其次是马来西亚、日本、菲律宾、泰国、新加坡、印度尼西亚和缅甸。
攻击最重要的方面是创建仅有个别字母不同的域名相似并且界面相似的网站来传播恶意安装程序,为了保持诡计,安装合法软件,但也会删除部署FatalRAT的加载程序。
这样一来,攻击者就可以完全控制受害的计算机,包括执行任意shell命令、运行文件、从Web浏览器收集数据以及获取键盘记录。
研究人员说:“攻击者在其网站使用的域名方面付出了一些努力,试图尽可能与官方名称相似。”“在大多数情况下,这些假网站是合法网站的相同副本。”
这些发现是在趋势科技披露Purple Fox活动不到一年后出现的,该活动利用模仿Adobe、谷歌浏览器、Telegram和WhatsApp的受污染的软件包作为传播FatalRAT的到达载体。
他们还在更广泛地滥用谷歌广告来提供广泛的恶意软件,或者将用户带到凭证式钓鱼网页。
在一个相关的发展中,赛门铁克的威胁猎手团队揭示了另一个恶意软件活动,该活动以台湾的实体为目标,该活动使用之前未记录的基于.NET的植入程序,称为Frebniis。
“Frebniis使用的技术涉及将恶意代码注入DLL文件(iisfreb.dll)的内存中,该文件与IIS功能相关,用于对失败的网页请求进行故障排除和分析,”赛门铁克表示。
“这允许恶意软件偷偷监视所有HTTP请求并识别攻击者发送的特殊格式的HTTP请求,从而允许远程代码执行。”
这家网络安全公司将此次入侵归因于身份不明的攻击者,并表示目前尚不清楚运行Internet Information Services(IIS)服务器的Windows机器的访问权限是如何获得的。