網(wǎng)絡安全公司Bitdefender近日揭露，不法分子通過臉書（Facebook）廣告網(wǎng)絡實施持續(xù)性惡意軟件攻擊，利用偽造的加密貨幣交易平臺和名人形象作為誘餌，通過惡意桌面客戶端和PowerShell腳本傳播惡意程序。

精心設計的欺詐鏈條

Bitdefender研究人員發(fā)現(xiàn)，攻擊者冒用Binance、TradingView等知名交易所品牌，并在廣告中植入埃隆·馬斯克（Elon Musk）和贊達亞（Zendaya）等名人形象，以此增強虛假加密貨幣交易推廣的可信度。當用戶點擊這些廣告后，會被重定向至高度仿真的釣魚網(wǎng)站，誘導其下載所謂的"桌面客戶端"。

圖片來源：Bitdefender

該惡意軟件采用多層攻擊架構(gòu)：下載的客戶端會釋放惡意DLL文件，在受害者計算機上啟動基于.NET的本地服務器，形成隱蔽的C2（命令與控制）中心。釣魚網(wǎng)站前端包含去混淆腳本，通過WMI（Windows管理規(guī)范）查詢與服務器通信，進而執(zhí)行更多惡意負載。

精準投放與反檢測機制

攻擊最終階段通常會執(zhí)行多個經(jīng)過編碼的PowerShell腳本，從遠程服務器下載附加惡意程序。值得注意的是，攻擊者實施了高級反沙箱檢測技術(shù)，僅對符合特定人口統(tǒng)計特征和行為模式的"高價值目標"投放惡意負載。

Bitdefender研究員Ionut Baltariu指出，未攜帶特定廣告追蹤參數(shù)、未登錄臉書賬戶，或使用"無價值"IP地址及操作系統(tǒng)的用戶，只會看到無害內(nèi)容。這種精準投放策略使攻擊者能在最大化攻擊效果的同時，最小化被安全分析發(fā)現(xiàn)的風險。

24小時投放超百條惡意廣告

研究人員已識別出數(shù)百個活躍推廣惡意頁面的臉書賬戶。其中某案例顯示，單個頁面在24小時內(nèi)就投放了超過100條廣告。雖然臉書會定期清除這些欺詐廣告，但許多廣告在被下架前已獲得數(shù)千次瀏覽。

攻擊者還創(chuàng)建了與TradingView等平臺官方頁面高度相似的虛假臉書專頁，甚至偽造了宣傳虛假贈品活動的帖子和評論。這些虛假頁面中的鏈接會直接將用戶導向惡意軟件分發(fā)網(wǎng)站。

平臺安全警鐘再響

這并非臉書首次成為惡意軟件傳播渠道。同日Morphisec公司的研究顯示，網(wǎng)絡罪犯正通過推廣虛假AI平臺的欺詐廣告?zhèn)鞑バ滦蚇oodlophile竊密程序。這些案例凸顯了犯罪集團如何濫用社交平臺的覆蓋范圍和廣告投放能力，也警示用戶需提高警惕并加強防護措施。

Bitdefender建議用戶：謹慎對待網(wǎng)絡廣告、使用欺詐鏈接檢測工具、保持安全軟件更新，并及時舉報可疑的臉書廣告。