通过搜索引擎,黑客使用恶意ISO存档来分发文件,将用户引导至流行商业应用程序的虚假下载页面。 该攻击诱使用户通过搜索结果下载知名应用程序的恶意版本,这些应用程序包括AnyDesk、AnyConnect、WinSCP、Treesize、Cisco、Slack等,一旦系统被感染,攻击者就会安装BlackCat勒索软件(也称为 ALPHV)。
已追踪到一种新的恶意广告攻击,其主要目标是企业。根据Bitdefender的最新研究报告,威胁行为者正在通过广告引诱用户下载流行应用程序的恶意版本,包括AnyDesk、AnyConnect、WinSCP、Treesize、Cisco、Slack等。
报告作者Victor VRABIE和Alexandru MAXIMCIUC解释说,在这次活动中,黑客依靠DLL侧载将恶意代码注入假版本中,以获取对受害者计算机的访问权限。
一旦被入侵,他们就可以在设备上执行各种活动,例如窃取凭据、窃取数据以进行勒索、建立持久性以及安装BlackCat 勒索软件。
供您参考,BlackCat勒索软件由RaaS(勒索软件即服务)运营商分发。该勒索软件也称为ALPHV,是用Rust编程语言编写的,目标是基于Windows和Linux的设备。
该公司在一篇博客文章中写道,网络犯罪分子正在使用恶意ISO存档和有吸引力的优惠来引诱商业用户。除了承诺的软件外,软件包中还包含ZIP存档。该文件包含一个Python可执行文件(python.exe) 及其依赖项,它们以Meterpreter stager的形式启动恶意代码,让威胁行为者访问设备并实现其邪恶目标。
进一步调查显示,该活动自2023年5月以来一直活跃,北美的组织是主要目标,特别是美国和加拿大的企业。到目前为止,Bitdefender研究人员已发现6个目标组织位于美国,1个组织位于加拿大。
Bitdefender研究人员强调,在过去几年中,他们观察到网络犯罪分子倾向于使用常用商业应用程序的恶意版本来针对企业,因为利用它们的受欢迎程度相对更容易。
这些虚假应用程序分布在通过恶意网站推广的广告中。首先,攻击者创建虚假网站,其中包含高兴趣应用程序的恶意下载,并确保这些网站通过广告出现在搜索引擎结果的顶部。无辜的用户点击这些广告并在下载假冒应用程序时使他们的设备受到感染。
评论已关闭。