據(jù)觀察，一種新的惡意廣告活動利用谷歌搜索和必應(yīng)的廣告，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用戶為目標(biāo)，誘騙他們下載木馬安裝程序，目的是入侵企業(yè)網(wǎng)絡(luò)，并可能在未來實(shí)施勒索軟件攻擊。

Sophos在周三的一份分析報告中稱，這種 "機(jī)會主義 "活動被稱為 "Nitrogen"，旨在部署Cobalt Strike等第二階段攻擊工具。

eSentire 在 2023 年 6 月首次記錄了 Nitrogen，詳細(xì)描述了一個感染鏈，它將用戶重定向到受攻擊的 WordPress 網(wǎng)站，最終將 Python 腳本和 Cobalt Strike Beacons 發(fā)送到目標(biāo)系統(tǒng)上。

Sophos 研究人員表示："在整個感染鏈中，威脅方使用不常見的導(dǎo)出轉(zhuǎn)發(fā)和 DLL 預(yù)加載技術(shù)來掩蓋其惡意活動“。

Python 腳本一旦啟動，就會建立一個 Meterpreter 反向 TCP 外殼，從而允許攻擊者在受感染的主機(jī)上遠(yuǎn)程執(zhí)行代碼，并下載一個 Cobalt Strike Beacon 以便后期利用。

研究人員說：搜索引擎內(nèi)顯示的廣告已成為攻擊者常用的手段。通過廣撒網(wǎng)的方式，誘使毫無戒心的用戶點(diǎn)擊并下載。

這其中包括，網(wǎng)絡(luò)犯罪分子利用付費(fèi)廣告引誘用戶訪問惡意網(wǎng)站，誘使他們下載 BATLOADER、EugenLoader（又名 FakeBat）和 IcedID 等多種惡意軟件，然后利用這些惡意軟件傳播信息竊取程序和其他有效載荷。

不僅如此，Sophos 還說它在著名的暗網(wǎng)市場上發(fā)現(xiàn)了 "大量關(guān)于SEO中毒，惡意廣告和相關(guān)服務(wù)的廣告和討論”，以及提供受損Google Ads帳戶的賣家。

這也進(jìn)一步說明 "攻擊者對 SEO 中毒和惡意廣告有著濃厚的興趣"。

參考鏈接：https://thehackernews.com/2023/07/new-malvertising-campaign-distributing.html