GoogleAds再次被用来传播恶意软件,这次是以官方CiscoWebex下载门户为幌子。视频会议软件的广告看起来非常真实,但它们只会将受害者重定向到包含BatLoader和DanaBot恶意软件的网站。
安全公司Malwarebytes发现该活动已持续一周,似乎是墨西哥攻击者所为。该恶意广告在Google搜索词“Webex”中排名第一。
该广告非常引人注目,因为它使用真正的Webex徽标和URLwebex.com作为链接。它利用跟踪模板中的漏洞,允许威胁参与者将链接重定向到他们想要的任何地方。
尽管Google要求广告显示的URL必须与用户访问的最终URL目标属于同一域,但跟踪模板可用于将用户重定向到不同的URL。
此活动中的威胁参与者使用了跟踪模板中的恶意“trixwe.page.link”链接,而最终URL被列为“webex.com”。因此点击的用户看到了后者,但被发送到了前者。
此外,不良链接似乎会阻止来自安全研究人员或爬虫的访问。对于攻击者真正想要瞄准的用户,他们会被发送到另一个站点,在那里进行更多检查,以再次确保他们不是使用沙箱环境的研究人员。
最后,他们想要攻击的用户将被发送到部署恶意软件的网站“webexadvertisingoffer[.]com”,而那些被过滤掉的用户将被重定向到合法的Webex网站。
在虚假页面上,有表面上是Webex的下载链接,如果单击该链接,将触发BatLoader的安装。然后,这将导致DanaBot恶意软件的执行,这是2018年的一种银行木马,可以窃取密码、截取屏幕截图、加载勒索软件模块、隐藏不良C2流量并使用HVNC进行远程访问。
下载软件时,最好的做法是忽略Google上的推广搜索结果并直接访问可信来源,例如供应商自己的网站。此后,谷歌告诉BleepingComputer,在本案中,它已“对相关帐户采取了适当的行动”。