HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一场利用搜索引擎优化(SEO)投毒技术传播恶意软件加载器Oyster(亦称Broomstick或CleanUpLoader)的攻击活动。据Arctic Wolf分析,该恶意广告活动通过伪造托管合法工具(如PuTTY和WinSCP)木马化版本的网站,诱骗搜索这些程序的技术人员下载安装。报告指出:“程序执行后会植入Oyster/Broomstick后门。攻击者创建每三分钟运行一次的计划任务实现持久化,通过rundll32.exe调用恶意DLL文件(twain_96.dll)的DllRegisterServer导出函数,表明其采用DLL注册机制维持控制。”
已发现的欺诈网站包括:
- updaterputty[.]comzephyrhype[.]computty[.]runputty[.]betputtyy[.]org
攻击者可能还针对其他IT工具传播恶意软件,用户必须严格依赖可信渠道和官方供应商站点下载软件。
当前黑帽SEO投毒技术正被用来操纵人工智能(AI)相关关键词的搜索结果,散布Vidar、Lumma和Legion加载器。这些网站嵌入了检测广告拦截器的JavaScript代码,在收集受害者浏览器信息后启动重定向链,最终导向包含ZIP压缩包的钓鱼页面。“最终下载页面提供受密码保护的ZIP压缩包(内含Vidar/Lumma窃密程序),密码直接显示在下载页面上,”Zscaler ThreatLabz分析称,“解压后出现800MB的NSIS安装包,攻击者刻意设置超大体积以绕过文件大小检测机制。”该安装包通过AutoIt脚本激活窃密载荷。而Legion加载器则采用MSI安装包配合批处理脚本进行部署。
同类SEO投毒活动还通过伪造热门网络应用的搜索结果,将用户导向虚假Cloudflare验证页面,运用臭名昭著的“点击修复”(ClickFix)策略,借助Hijack加载器传播RedLine窃密程序。卡巴斯基数据显示,2025年1至4月期间,约8500家中小企业遭遇伪装成ChatGPT、DeepSeek、Cisco AnyConnect等AI/协作工具的恶意攻击。Zoom仿冒文件占比达41%,Outlook与PowerPoint各占16%,ChatGPT恶意文件数量同比激增115%。
尽管滥用虚假搜索列表是常见手段,但近期攻击出现新变种:劫持苹果、美国银行、微软等品牌技术支持页面的赞助搜索结果。用户会被导向品牌官网帮助中心,但页面显示的电话号码已被替换为攻击者控制的号码。该技术通过“搜索参数注入”实现——在网址栏注入伪造号码使其看似官方结果,而实际参数在搜索结果中不可见,极具迷惑性。
攻击者还在Facebook平台投放虚假广告:以“Pi Network桌面版更新”为诱饵传播窃密程序,盗取凭证与加密钱包密钥;通过4000余个仿冒电商网站(GhostVendors网络)投放短期广告实施金融欺诈。安全公司Bitdefender指出这可能是同一攻击者为最大化收益开展的并行欺诈计划。
同时,针对macOS系统的Poseidon窃密程序及Windows平台的PayDay加载器(最终投递Lumma窃密程序)活动被命名为“黑暗伙伴”(Dark Partners)。PayDay加载器利用Google日历事件隐藏C2服务器地址,其使用的邮箱echeverridelfin@gmail[.]com亦关联到恶意npm包“os-info-checker-es6”,表明攻击者持续测试不同传播方式。该加载器通过Node.js模块配合ADM-ZIP库,定位加密钱包数据并外传到硬编码C2服务器。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
