據(jù)The Hacker News消息，研究人員發(fā)現(xiàn)，一種新型惡意廣告活動(dòng)正偽裝成 Windows 新聞門戶網(wǎng)站，傳播含有惡意軟件的虛假CPU-Z 系統(tǒng)分析工具。

雖然眾所周知，惡意廣告活動(dòng)會(huì)建立對(duì)應(yīng)軟件的山寨網(wǎng)站來冒充，但此次活動(dòng)卻是模仿了新聞門戶網(wǎng)站(WindowsReport.com) ，其目標(biāo)是針對(duì)在 Google 等搜索引擎上搜索 CPU-Z 的用戶，通過呈現(xiàn)惡意廣告，將這些用戶重定向到虛假門戶 (workspace-app[.]online)。

通過谷歌搜索呈現(xiàn)的惡意廣告引導(dǎo)用戶至虛假Windows新聞門戶

惡意網(wǎng)站上托管的已簽名 MSI 安裝程序包含一個(gè)惡意 PowerShell 腳本，即一個(gè)名為 FakeBat（又名 EugenLoader）的加載程序，充當(dāng)在受感染主機(jī)上部署 RedLine Stealer 的管道。

這絕非谷歌流行軟件的欺騙性廣告第一次成為惡意軟件的傳播媒介。就在不久前，網(wǎng)絡(luò)安全公司 eSentire 披露了一個(gè)被稱之為Nitrogen 的惡意活動(dòng)，該活動(dòng)被認(rèn)為是 BlackCat 勒索軟件攻擊d 前奏。

加拿大網(wǎng)絡(luò)安全公司記錄的另外兩項(xiàng)活動(dòng)表明，近幾個(gè)月來已出現(xiàn)利用將用戶引導(dǎo)至可疑網(wǎng)站的偷渡式下載方法來傳播NetWire RAT、DarkGate和DanaBot等各種惡意軟件系列，表明攻擊者正繼續(xù)越來越多地依賴 NakedPages、Strox 和 DadSec 等 "中間對(duì)手"（AiTM）網(wǎng)絡(luò)釣魚工具包繞過多因素身份驗(yàn)證并劫持目標(biāo)賬戶。

此外，eSentire 還呼吁人們關(guān)注一種被稱為 Wiki-Slack 攻擊的新方法，這種用戶定向攻擊手法旨在通過篡改維基百科文章第一段末尾并在 Slack 上共享，將受害者引向攻擊者控制的網(wǎng)站。具體來說，當(dāng)維基百科 URL 在企業(yè)消息平臺(tái)中以預(yù)覽形式呈現(xiàn)時(shí)，利用 Slack 中 "錯(cuò)誤處理第一段和第二段之間空白 "的缺陷自動(dòng)生成鏈接。

實(shí)施這種攻擊的一個(gè)關(guān)鍵前提在于維基百科文章中第二段的第一個(gè)詞必須是頂級(jí)域（如 in、at、com 或 net），而且這兩段應(yīng)出現(xiàn)在文章的前 100 個(gè)字內(nèi)。

有了這些條件，攻擊者就可以將這種行為武器化，使 Slack 格式的共享頁面預(yù)覽結(jié)果指向一個(gè)惡意鏈接，一旦受害者點(diǎn)擊該鏈接，就會(huì)落入攻擊者設(shè)好的陷阱當(dāng)中。