Google广告中的消息应用程序”下载投放RAT木马瞄准中文用户

中文用户已成为通过Telegram等消息应用程序传播的恶意 Google 广告的攻击目标。

Malwarebytes 在周四的一份报告()中表示：攻击者正在滥用 Google 广告商帐户来创建恶意广告，将毫无戒心的用户指向下载远程管理木马 (RAT) 的页面。” 此类程序使攻击者能够完全控制受害者的计算机，并能够删除其他恶意软件。”

该活动代号为FakeAPP ，是2024 年 10 月下旬针对在搜索引擎上搜索 WhatsApp 和 Telegram 等消息应用程序攻击浪潮的延续。

该活动的最新版本还将消息应用程序 LINE 添加到消息应用程序列表中，将用户重定向到 Google 文档或 Google 协作平台上托管的虚假网站。

Google 基础设施用于嵌入到攻击者控制下的其他站点的链接，以便提供最终部署PlugX和Gh0st RAT等木马的恶意安装程序文件。

Malwarebytes 表示，它追踪到欺诈性广告来自两个位于尼日利亚的广告商帐户，分别为Interactive Communication Team Limited和Ringier Media Bulgaria Limited 。

攻击者似乎通过不断推送新的有效负载和基础设施作为命令和控制（C2）服务器，优先考虑数量而非质量。

这一进展正值 Trustwave SpiderLabs 披露名为Greatness的网络钓鱼即服务 (PhaaS) 平台的使用激增之际，该平台用于创建针对 Microsoft 365 用户的看似合法的凭据收集页面。

该公司表示：该工具包允许个性化发件人姓名、电子邮件地址、主题、消息、附件和二维码，从而增强相关性和参与度。”并补充说，它配备了反检测措施，例如随机标头、编码和混淆，旨在绕过垃圾邮件过滤器和安全系统。

Greatness 以每月 120 美元的价格出售给其他犯罪分子，有效降低了进入门槛，帮助他们进行大规模攻击。

攻击链需要发送带有恶意 HTML 附件的网络钓鱼电子邮件，当收件人打开这些附件时，会将其引导至虚假登录页面，该页面捕获输入的登录凭据，并通过 Telegram 将详细信息上传给攻击者。

其他感染序列利用附件在受害者的计算机上投放恶意软件，以促进信息盗窃。

为了增加攻击成功的可能性，电子邮件会欺骗银行和雇主等受信任的来源，并使用紧急发票付款”或需要紧急帐户验证”等主题引发错误的紧迫感。

Trustwave 表示：目前受害者人数尚不清楚，但 Greatness 得到了广泛使用和良好支持，其自己的 Telegram 社区提供了有关如何操作该工具包的信息，以及其他提示和技巧。”

据观察，网络钓鱼攻击还利用冒充 Kakao 等科技公司的诱饵来攻击韩国公司，通过恶意 Windows 快捷方式 (LNK) 文件分发 AsyncRAT。

AhnLab 安全情报中心 (ASEC)表示：伪装成合法文档的恶意快捷方式文件正在不断传播。” 用户可能会将快捷方式文件误认为是普通文档，因为‘.LNK’扩展名在文件名上不可见。”

参考链接：