网络安全研究人员揭示了与 ClickFix 式攻击相关的一个以前未记录的方面,这种攻击依赖于利用单一的广告网络服务,作为被称为 DeceptionAds 的恶意广告驱动的信息窃取活动的一部分。Guardio Labs 负责人 Nati Tal 在与 The Hacker News 分享的一份报告中说:“该活动完全依赖于单一广告网络进行传播,展示了恶意广告的核心机制–(在过去十天内)每天提供超过 100 万次‘广告印象’,并通过 3000 多个内容网站的流量输送网络,每天导致数千名受害者丢失账户和金钱。”最近几个月,多家网络安全公司记录了这些活动,其中包括将盗版电影网站和其他网站的访问者引导到假的验证码验证页面,指示他们复制并执行 Base64 编码的 PowerShell 命令,最终导致部署 Lumma 等信息窃取程序。这种攻击已不再局限于单个行为者,Proofpoint 最近指出,多个 “非归属 ”威胁集群已采用巧妙的社交工程方法来传播远程访问木马、窃取程序,甚至是 Brute Ratel C4 等后剥削框架。Guardio Labs 表示,它能够追踪到活动的源头 Monetag,该平台声称提供多种广告格式来 “为网站、社交流量、Telegram Mini Apps 盈利”,威胁行为者还利用 BeMob 广告跟踪等服务来掩盖其恶意意图。Infoblox 还以 Vane Viper 和 Omnatuor 的名称跟踪 Monetag。该活动可有效归结为:网站所有者(即威胁行为者)在 Monetag 注册后,流量会被重定向到由恶意广告网络运营的流量分发系统 (TDS),最终将访问者带到验证码验证页面。塔尔解释说:“通过向Monetag的广告管理系统提供一个良性的BeMob URL,而不是直接的虚假验证码页面,攻击者利用了BeMob的声誉,使Monetag的内容审核工作变得更加复杂。这个BeMob TDS最终重定向到恶意验证码页面,托管在Oracle Cloud、Scaleway、Bunny CDN、EXOScale甚至Cloudflare的R2等服务上。”在负责任的披露之后,Monetag 已经删除了 200 多个与该威胁行为者有关联的账户。BeMob 也采取了类似措施,删除了用于隐身的账户。尽管如此,有迹象表明,截至 2024 年 12 月 5 日,该活动已再次恢复。调查结果再次凸显了内容审核和强大的账户验证以防止虚假注册的必要性。“从提供盗版或点击诱饵内容的欺骗性出版商网站到复杂的重定向链和隐形技术,这次活动凸显了为合法目的而设计的广告网络是如何被用于恶意活动的,”塔尔说。“其结果是责任链支离破碎,广告网络、出版商、广告统计服务和托管服务提供商各司其职,却往往逃避责任。”
