详细内容或原文请订阅后点击阅览
恶意广告向 Kaiser Permanente 员工分发 SocGholish 恶意软件
一则欺诈性的 Google 广告旨在诱骗员工获取其登录凭据,但却将他们重定向到虚假的浏览器更新页面。
来源:Malwarebytes Labs 博客12 月 15 日,我们检测到一个通过 Google 搜索广告针对 Kaiser Permanente 员工的恶意活动。欺诈性广告伪装成医疗保健公司的人力资源门户,用于检查福利、下载工资单和其他公司相关任务。
我们认为威胁行为者的意图是诱骗 KP 员工获取他们的登录凭据,但发生了意想不到的事情。相反,点击广告的受害者被重定向到一个受感染的网站,提示他们更新浏览器。
此通知是名为 SocGholish 的恶意软件活动的一部分,该活动诱骗用户运行据称用于更新浏览器的脚本。相反,它会感染机器,如果受害者被认为足够重要,人类操作员将获得访问权限以执行恶意操作。
在这篇博文中,我们回顾了这次攻击是如何展开的,以及受感染的网站为何破坏了攻击者的计划。我们已经向 Google 报告了恶意广告。
恶意的 Kaiser Permanente 广告
目前,一些犯罪团伙正在滥用 Google Ads 来对各大公司的受害者进行网络钓鱼。他们利用员工在谷歌上搜索他们的人力资源门户网站,以便他们可以显示恶意广告来引诱他们。
例如,在搜索 Kaiser Permanente 的人力资源门户网站时,我们看到了以下广告:
我们能够识别出以“Heather Black”为名注册虚假账户的广告客户。此广告仅针对美国的搜索显示,如 Google Ads 透明度中心报告中所示:
前公司的网站因网络钓鱼而被劫持
广告中显示的网址(https://www.bellonasoftware[.]com)看起来与 Kaiser Permanente 无关。根据 LinkedIn 的信息,Bellona Software 是一家位于罗马尼亚的公司。我们可以使用互联网档案馆查看他们网站在 2021 年的样子:
https://www.bellonasoftware[.]com 根据 LinkedIn 互联网档案馆恶意重定向到 SocGholish
扫描 Update.js Cobalt Strike 键盘上的人 引用者钓鱼网站