谷歌出现恶意广告！其“消息应用程序”下载投放RAT木马瞄准中文用户

正在进行的恶意广告活动的一部分是针对使用中文的用户，主要集中在受限制消息应用程序如Telegram等平台。根据Malwarebytes的Jérôme Segura在最新的报告中指出，威胁行为者正在滥用谷歌广告商帐户，制作并投放恶意广告，将其指向毫不怀疑的用户，导致他们下载远程管理木马（RAT）。

这些恶意程序允许攻击者完全控制受害者的计算机，并可能引发其他恶意软件的攻击。这次活动的代号为FakeAPP，延续了自2023年10月以来针对在搜索引擎上搜索WhatsApp和Telegram等消息应用程序的香港用户的攻击浪潮。最新版本的活动还将消息传递应用程序LINE添加到攻击列表中，将用户重定向到托管在Google Docs或Google协作平台上的虚假网站。

谷歌的基础设施被用于嵌入指向威胁行为者控制下的其他站点的链接，以提供最终部署木马（如PlugX和Gh0st RAT）的恶意安装程序文件。Malwarebytes追踪到两个涉嫌与该活动相关的广告商帐户，分别为尼日利亚的Interactive Communication Team Limited和Ringier Media Nigeria Limited。

Segura指出：“威胁行为者似乎通过不断推动新的有效载荷和基础设施，将数量置于质量之上。”同时，Trustwave SpiderLabs披露了一种名为Greatness的网络钓鱼即服务（PhaaS）平台，该平台创建了针对Microsoft 365用户的合法凭据收集页面，使用了名为Greatness的网络钓鱼即服务（PhaaS）平台。这套工具允许个性化发件人姓名、电子邮件地址、主题、消息、附件和二维码，以提高相关性和参与度，并带有反检测措施，如随机化标题、编码和混淆，旨在绕过垃圾邮件过滤器和安全系统。

Greatness平台以每月120美元的价格售卖给其他犯罪分子，有效地降低了进入门槛并帮助他们进行大规模攻击。攻击链包括发送带有恶意HTML附件的网络钓鱼电子邮件，当收件人打开这些附件时，会将他们定向到一个虚假的登录页面，该页面捕获输入的登录凭据并通过Telegram将详细信息泄露给威胁行为者。其他感染序列通过附件在受害者的机器上部署恶意软件，以促进信息盗窃。

为了增加攻击成功的可能性，这些电子邮件采用了欺骗手法，伪装成受信任的来源，如银行和雇主，并使用“紧急发票付款”或“需要紧急帐户验证”等主题，引发虚假的紧迫感。目前尚不清楚受害者的确切数量，但Greatness平台被广泛使用，并在其Telegram社区中提供了有关如何操作该工具包的信息，以及其他提示和技巧。同时，观察到网络钓鱼攻击还使用冒充Kakao等科技公司的诱饵，以攻击韩国公司，通过恶意Windows快捷方式（LNK）文件分发AsyncRAT。AhnLab安全情报中心（ASEC）表示，由于'.LNK'扩展名在文件名上不可见，用户可能会将恶意快捷方式文件误认为是普通文档。