趨勢科技發現有駭客集團透過惡意廣告並且仿冒合法網站來散播惡意程式,駭客仿冒了知名開放原始碼檔案傳輸程式 WinSCP 的網站。受害企業會感染 BlackCat 勒索病毒 (又名 ALPHV),而且駭客還使用了 SpyBoy Terminator 軟體來試圖破壞資安軟體的防護。
最近,趨勢科技事件回應團隊在執行針對性攻擊偵測 (TAD) 服務時發現了一些相當可疑的活動,隨後便聯絡了遭到攻擊的企業。經過調查發現,歹徒透過惡意廣告並搭配仿冒的網頁來散播惡意程式。被仿冒的是知名的 WinSCP 開放原始碼檔案傳輸程式 (Windows 版)。
企業經常透過 Google Ads 這樣的平台來投放針對特定對象的廣告,以便衝高流量和提升買氣。而駭客集團也常在該平台刊登惡意廣告來散播惡意程式,他們會在使用者搜尋特定關鍵字時投放惡意廣告,引誘不知情的使用者下載惡意程式。
在這起案例當中,受害企業與趨勢科技團隊在調查之後發現駭客集團在該企業的網路內部執行了下列未經授權的惡意活動:
繼續閱讀隨著 AI 工具的爆紅,駭客集團也開始相中這些工具。無論企業或一般使用者在下載及使用任何應用程式和工具時,都應該隨時保持警戒,避免點選可疑廣告或下載未經確認或非官方來源的應用程式,尤其利用 google 搜尋關鍵字時,更要提防夾帶惡意程式的網頁廣告。
ChatGPT 之類的人工智慧 (AI) 工具突然爆紅,使得它們被駭客相中,成為其社交工程(social engineering )陷阱誘餌,誘騙受害者下載惡意程式植入器,最終感染 Vidar 和 Redline 之類的資訊竊取程式。
最近,我們一直在觀察 Google 搜尋引擎上與 AI 工具 (如 Midjourney 和 ChatGPT) 相關的惡意廣告。圖 1 顯示使用者在 Google 上搜尋「midjourney」這個關鍵字時可能看到的惡意廣告 (註: Midjourney 是一種 AI 繪圖生成工具,可讓使用者透過自然語言描述來產生自己想要的圖片)。
繼續閱讀趨勢科技分析了某起利用 Google 點擊付費 (PPC) 廣告散播 IcedID 殭屍網路的惡意廣告,IcedID 能讓駭客執行高破壞力的後續攻擊來侵害系統,例如:竊取資料或使用勒索病毒癱瘓系統。
在密切追蹤 IcedID 殭屍網路的活動期間,趨勢科技發現其散播方式出現重大改變。從 2022 年 12 月起,我們觀察到它開始在 惡意廣告攻擊中使用 Google點擊付費 (PPC) 廣告來散播 IcedID。趨勢科技將此 IcedID 變種命名為「TrojanSpy.Win64.ICEDID.SMYXCLGZ」。
Google Ads 之類的廣告平台可讓企業瞄準特定對象投放廣告,以便衝高流量和提升買氣。使用惡意廣告來散播惡意程式的駭客集團就是利用這類機制,針對特定的關鍵字來投放惡意廣告,引誘不知情的搜尋引擎使用者下載其惡意程式。
趨勢科技的研究發現,IcedID 駭客集團會製作模仿合法企業與知名應用程式的冒牌網頁,然後再搭配惡意廣告來散播 IcedID 惡意程式。最近,美國聯邦調查局 (FBI) 發布一份警告指出網路犯罪集團如何利用搜尋引擎的廣告服務偽裝成合法品牌將使用者帶到惡意網站來獲利。
本文從技術面詳細說明 IcedID 殭屍網路的最新散播方式與使用的最新載入器。
繼續閱讀趨勢科技發現了一起新的社交工程(social engineering )惡意廣告攻擊,此攻擊瞄準了日本,並會散布惡意程式。這起攻擊行動,使用者一開始會先收到惡意廣告,這些廣告會偽裝成日本色情動畫遊戲、點數回饋應用程式或影音串流軟體,引誘使用者下載,利用側載 (sideloading) 技巧來載入並執行 Cinobi 銀行木馬程式,竊取登入憑證。
我們在 先前一篇部落格中介紹了一起稱為「Operation Overtrap」的攻擊行動,專門在日本地區散播一個名為「Cinobi」的最新銀行木馬程式。這起攻擊是由一個稱為「Water Kappa」的駭客集團所發動,他們會利用垃圾郵件來散布 Cinobi 木馬程式。除此之外,也會利用 Bottle 漏洞攻擊套件來散播木馬程式,該套件收錄了 Internet Explorer 的 CVE-2020-1380 和 CVE-2021-26411 兩個較新的漏洞,駭客利用此套件來從事惡意廣告攻擊,專門瞄準 Microsoft Internet Explorer 的使用者。根據趨勢科技在 2020 一整年以及 2021 上半年的觀察,Bottle 漏洞攻擊套件似乎不太活躍,且其攻擊流量在六月中持續減少,這很可能意味著該集團已經改用其他新的攻擊方式和技巧。
不過,趨勢科技在這段期間發現了一起專門瞄準日本的最新社交工程惡意廣告攻擊,此攻擊會散布一個偽裝成免費色情遊戲、點數回饋應用程式或影音串流軟體的惡意程式。此惡意程式會利用側載 (sideloading) 技巧來載入並執行 Cinobi 銀行木馬程式。我們認為這是 Water Kappa 集團所發動的最新攻擊,瞄準對象是 Internet Explorer 以外的瀏覽器用戶。
仔細研究這起攻擊的 Cinobi 樣本之後,我們發現它在功能上大致維持不變,但在組態設定中的攻擊目標名單上,卻增加了多個日本虛擬加密貨幣交易所網站,意味著該集團已開始使用 Cinobi 來竊取受害者的虛擬加密貨幣帳戶。
繼續閱讀工作到一半彈跳出網路交友、壯陽藥的廣告,實在有夠糗!
大規模點擊詐欺 (Click Fraud)正流行,三月份開始,便有使用者陸續回報在使用 Chrome 和 Edge 瀏覽器上網時,會不時彈出一些不請自來廣告,針對亞洲用戶會彈跳出兒童不宜的廣告。
原來是用戶瀏覽了一些專門誘騙使用者接受瀏覽器推播通知的網站,這些3,500 多個所謂的門戶網頁以色情網站、運動賽事串流、影音串流誘導用戶。瀏覽這些網站時通常載入到一半,使用者必須點選彈出視窗上的「Allow」(允許) 按鈕才能繼續,這時不疑有他的受害者就上鉤了!
由於新冠肺炎(COVID-19)疫情又起,許多國家都再一次實施封城與管制,很多人因此受困在家。無聊的生活,再加上正逢許多大型運動賽事舉辦期間,全球運動迷們紛紛湧入影音串流網站觀賞賽事,但也因此不小心成了大規模點擊詐欺 (Click Fraud)的受害者。
由於疫情又起,許多國家都再一次實施封城與管制,很多人因此受困在家。無聊的生活,再加上正逢許多大型運動賽事舉辦期間,全球運動迷們紛紛湧入影音串流網站觀賞賽事,但也因此不小心成了大規模點擊詐欺 (Click Fraud)的受害者。
瀏覽器推播通知是一項可讓網站發送通知訊息給訂閱用戶的瀏覽器功能。Chrome 瀏覽器在 2015 年推出 瀏覽器通知功能來讓網站推播有關新內容或新文章的訊息給訂閱用戶。使用者若允許網站發送瀏覽器通知,該網站就可以推播通知訊息至瀏覽器。
然而一些不道德的廣告業者,卻趁著越來越多人被迫困在家中觀賞影音串流的機會,透過瀏覽器通知來從事一種特殊的點擊詐欺 (Click Fraud) 廣告推播。趨勢科技注意到這類垃圾訊息在 2 月份突然增加。
編按:
一般的點擊欺詐(Click fraud)是一種大量點擊網路廣告的欺詐行為。詐騙者甚至雇用低價勞工以及機器人點擊網站上的廣告,以賺取傭金。由於網路廣告是透過點擊次數來計算收費,也有競爭對手以這種非自然的方式點擊廣告, 讓對手的廣告支出增加。