详细内容或原文请订阅后点击阅览
克隆大学网站以逃避广告检测并分发假冒思科安装程序
恶意广告发布者受到德国大学网站的启发,绕过广告安全并传播恶意软件。
来源:Malwarebytes Labs 博客防御者和攻击者之间总是上演着“猫捉老鼠”的游戏,后者总是想智取前者,抢在前者之前先发制人。在在线广告中,这涉及创建虚假身份或使用被盗身份来推送恶意广告。
攻击者不仅需要逃避检测,还需要创建一个能够让大多数人信服的诱饵。在这篇博文中,我们将重点介绍恶意广告商在几乎所有广告活动中使用的东西,即诱饵(也称为“白页”),以欺骗广告实体。
具体案例是针对 Cisco AnyConnect 的恶意 Google 广告,这是一种员工经常用来远程连接公司网络的工具,大学也经常使用它。事实上,我们发现威胁行为者正在使用德国大学的名称来创建一个虚假网站,其目的不是欺骗真正的受害者,而是绕过安全系统的检测。
可以肯定的是,受害者是整个计划的一部分,但他们被重定向到一个相似的思科网站,该网站链接到一个包含 NetSupport RAT 远程访问木马的恶意安装程序。
完美的伪装
恶意广告来自对关键字“cisco annyconnect”的 Google 搜索。广告显示的 URL 看起来有点令人信服,域名为 anyconnect-secure-client[.]com。我们应该注意到,这个域名是在广告出现前不到一天注册的。
cisco annyconnect anyconnect-secure-client[.]com 注册点击广告后,服务器端检查将确定这是否是潜在受害者。通常,真正的受害者有一个住宅 IP 地址和其他网络设置,以将其与爬虫、机器人、VPN 或代理区分开来。
依靠 AI 生成虚假页面 此处真正的受害者感染恶意软件
尽管此模板看起来不错,但真正的受害者永远不会看到它。相反,在连接到恶意服务器后,他们将立即被重定向到 Cisco AnyConnect 的钓鱼网站。
client32.exe