許多入侵和攻擊都是從終端被惡意軟件感染開始的。惡意軟件的傳播通常以誘騙某人打開一個可執行文件爲手段,這些誘騙文件是良性的,例如一個常見的軟件實用程序,但實際上是惡意的。傳播惡意軟件最常見的方法之一是通過垃圾郵件,但還有其他方法,比如,一種長期使用的将惡意軟件植入系統的技術在去年年末重新出現。
"Malvertising" 是惡意軟件和廣告的合成詞,其技術包括購買搜索引擎廣告,并在這些廣告中放置指向惡意網站的鏈接。自從與搜索相關的點擊付費 ( PPC ) 廣告出現以來,這種技術就一直被攻擊者使用,但最近不知出于什麽原因,這種技術被使用的頻率和數量出乎意料。接下來,我們将介紹惡意廣告是如何運作的,針對它的一些防禦措施,以及最近如何利用它來分發惡意軟件的例子。
PPC 的工作原理
谷歌的 PPC 廣告平台是攻擊者用來傳播惡意軟件的主要媒介。Intel 471 曾詳細介紹過建立 Google Ads 活動的内容。這些文章介紹了很多關于這些攻擊者如何開展活動的信息,以及他們如何爲自己的廣告獲得頂級搜索結果的一些理論。
谷歌的 PPC 廣告管理面闆具有一個相當直觀的設計,允許用戶一目了然地查看他們的廣告活動統計數據。用戶可以查看他們當前的廣告、關鍵字、推薦、統計數據和每次優惠的總成本。用戶必須提供一個 URL 來創建廣告,顯示 URL 的路徑,提供優惠的描述,并爲廣告制作一些标題。描述、标題和網站都被被納入谷歌用來計算廣告排名的公式中。
一旦創建了廣告,用戶可以設置廣告在 PPC 上花費的最大金額。廣告位的銷售采用了一種盲拍賣機制,廣告客戶可以出價高于競争對手,但無法看到其他人對廣告位的出價。谷歌以前的廣告排名算法考慮的是廣告商爲廣告植入排名的出價,然而,新系統綜合考慮了廣告出價、描述、标題和網站檢查。
一旦用戶創建了廣告并設定了投标價格,他們就可以開始使用 Google Ads 平台上的多種工具。通過設備定位,廣告商可以爲隻在平闆電腦或手機等特定類型的設備上播放的廣告定價。
客戶可以在 Google Ads 面闆的 " 受衆 " 選項卡中使用額外的目标定位。用戶可以監控點擊廣告的人的人口統計數據,創建有針對性的廣告,或排除某些人口統計數據,并針對特定類型的人,如在金融服務或酒店業工作的人。該平台還允許廣告商根據地理位置和受衆跟蹤,或包括城市、州和郵政編碼在内的各種因素來定位客戶。
2023 年 1 月 26 日谷歌 PPC 廣告平台的廣告客戶目标選項的截圖
BokBot
BokBot,也被稱爲 IcedID,是一種銀行木馬,也可以下載其他惡意軟件。BokBot 的開發人員與 Conti 勒索軟件組織和 Trickbot ( 另一種用于傳播勒索軟件的銀行惡意軟件和僵屍網絡 ) 一直有關聯。在過去的一年中,最初的訪問代理(IAB)越來越多地使用 BokBot 作爲網關惡意軟件進行攻擊,以取代現已失效的 BazarLoader 或 Trickbot 家族。2022 年 12 月和 2023 年 1 月,BokBot 運營商開始嘗試使用谷歌 PPC 廣告平台進行分發。
這些 BokBot 活動的流量分配系統(TDS)在谷歌搜索廣告引擎指向的登錄頁面上使用受害者和木馬過濾。此過濾确保連接客戶端不是來自虛拟專用網絡(VPN)IP 地址,使用戶代理檢查并遵循超文本傳輸協議 ( HTTP ) "GET" 标頭條件。如果連接不符合條件,用戶不會被重定向到 BokBot 惡意登陸頁面,而是停留在廣告網站上,而廣告網站可能與目标應用程序或品牌無關。該網站通常與活動無關。符合目标标準的連接将被重定向到 BokBot 惡意登陸頁面,并且永遠不會看到廣告站點。
最近的 BokBot 活動僞裝成操作系統虛拟化平台 Docker 的廣告。惡意廣告包含拼寫錯誤的域名,并且似乎高于 Docker 的合法報價。一旦用戶點擊廣告鏈接,BokBot 的第一個 URL 劫持域就會執行一些基本的木馬過濾,以确定廣告的觀看者是否是目标的合法受害者,而不是研究人員。如果基于用戶代理、用戶代理客戶端提示或地理位置的檢查失敗,Docker 活動的登錄頁面将引導查看者進入一個關于如何設置和使用 Docker 的虛假教程。
2023 年 1 月 26 日,出現在合法 Docker 搜索結果和廣告之前的惡意 Docker 廣告截圖
BatLoader 和 EugenLoader/FakeBat
惡意軟件加載器,也稱爲 " 下載器(滴管)",是系統上的初始感染,然後被攻擊者用來下載其他惡意代碼。BatLoader 于 2022 年 2 月被發現,是一種利用微軟軟件安裝程序 ( .msi ) 和 PowerShell 的加載器。
Intel 471 最近發現,兩個不同的攻擊者正在通過不同的命令和控制 ( C2 ) 基礎設施分發 BatLoader。Mandiant 在 2022 年确定爲 BatLoader 的活動涉及 .MSI 在安裝期間執行 .BAT 文件。然而,第二個活動不涉及 .BAT 文件的執行。相反,該惡意軟件有一個内嵌的 PowerShell 腳本,它會代替 .BAT 文件執行。由于這些差異,Intel 471 分析師決定将第二次活動更名爲 EugenLoader,它也被稱爲 FakeBat。
由于之前的報告混合了 EugenLoader 和 BatLoader,因此很難确定 EugenLoaders 何時首次出現。但它可能會在 2022 年 11 月或 12 月運行。在對 EugenLoader 的調查中,我們發現一個域名似乎被用作新活動的下載目的地。域的根目錄被錯誤地打開并顯示了 EugenLoader 活動的 .MSI 文件。如下圖所示,EugenLoader 惡意軟件已被重命名爲模拟已知軟件,如 FileZilla、uTorrent 和 WinRAR 等。
可疑 EugenLoader 活動的域的根目錄處于打開狀态
在分發活動中,EugenLoader 建立了一些域名,聲稱提供合法的流行軟件,但其實這是惡意軟件。
EugenLoader 最活躍的惡意廣告活動之一是僞裝成 WinRAR,這是一種用于壓縮和提取文件的流行軟件實用程序。雖然其他廣告活動似乎間歇性地将其廣告放在搜索結果的頂部,但 WinRAR 廣告活動沒有這樣的限制,這使得攻擊者能夠欺騙受害者不斷安裝 EugenLoader。
EugenLoader 還通過欺騙 7-Zip ( 另一種流行的文件歸檔軟件 ) 的惡意廣告活動進行分發。使用精心制作的谷歌搜索廣告,該活動能夠将其下載鏈接放置在 7-Zip 官方下載頁面之前,如下圖所示。
有兩個 PPC 廣告提供 7-Zip,但域名與官方項目無關
直到最近,惡意廣告還不是攻擊者首選的攻擊手段,與電子郵件垃圾郵件等傳統手段相比,它很少被使用。然而,EugenLoader 背後的運營商能夠購買始終出現在谷歌第一搜索結果位置的廣告。惡意廣告技術有可能挑戰惡意軟件垃圾郵件 ( malspam ) 作爲攻擊者首選載體的位置。
惡意軟件開發者投放惡意廣告有利有弊。首先,攻擊者可以通過廣告吸引尋找下載工具的用戶,出現在第一個搜索結果中意味着很有可能有人在沒有仔細查看域名的情況下點擊。随後的登錄頁面看起來與合法登錄頁面完全相同,人們很可能會下載并安裝該工具。
這與垃圾郵件相比具有優勢,垃圾郵件可能會被安全工具捕獲并隔離,或者被發送到垃圾郵件文件夾,永遠不會被潛在受害者注意到。如果目标确實下載了它,攻擊者必須誘騙其打開,例如打開發票、點擊鏈接或運行可執行文件。但惡意廣告抓住了那些想下載并立即運行的人。
然而,惡意廣告的成本并不便宜。每次點擊點擊付費廣告的成本可能高達 2 至 3 美元。由于攻擊者不斷競标廣告位,這些行動也提高了合法廣告商的成本。有可能是惡意商家用偷來的信用卡信息來支付廣告費用。另外,攻擊者是如何爲這些廣告買單的,這将是另一個值得研究的課題,它可能會挖掘出這些活動背後的團體。
在某些情況下,活動的成功與否可以衡量。一些惡意廣告将受害者引導到 Bitbucket 上的網站,這可能會顯示下載數量。其中一項活動的下載量超過 3000 次。按每次點擊 2 美元計算,投放廣告的人可能已經支付了多達 6000 美元,這表明攻擊者有經濟實力。在這些活動中發現的其他類型的惡意軟件包括 RedLine 等信息竊取軟件。惡意軟件經常阻礙 VirusTotal 提交。文件大小高達 700 MB,這與滴管或加載器的典型大小相比非常大。VirusTotal 的文件大小限制爲 32 MB ( 最多可提交 200 MB 的文件 ) ,這意味着由分發的惡意文件不一定會有分析示例。
總結
惡意廣告激增,對谷歌影響最大,在 2023 年 1 月中旬達到頂峰,此後有所下降。安全社區已經就其調查結果與谷歌取得聯系。幾位研究人員制作了一份電子表格,用于跟蹤惡意廣告活動和被假冒的品牌。在 2023 年 1 月 19 日至 2023 年 2 月 22 日期間,該電子表格包含了 584 起惡意廣告活動的示例。此外,研究人員還開發了一些工具,比如 Randy McEoin 開發的這個工具,它可以搜索惡意廣告,Michael McDonnell 開發的這個工具也可以對活動截圖留證。
