一种新的恶意广告活动正在传播一款伪造的思科 AnyConnect 安装程序,该程序会植入 NetSupport RAT 木马。
Malwarebytes 的研究人员发现了一场恶意广告活动,该活动利用谷歌广告来分发一款伪造的思科 AnyConnect 安装程序。这款安装程序使用有效的证书进行数字签名,会植入 NetSupport RAT 远程访问木马,使攻击者能够控制受害者的计算机。
报告称:“这起特殊案例是一则针对思科 AnyConnect 的恶意谷歌广告,思科 AnyConnect 是一款工具,常被员工用于远程连接公司网络,大学也会使用。”
攻击者采用了一种巧妙的技术来躲避安全系统的检测。他们克隆了一所使用思科 AnyConnect 的德国大学的网站,并将其用作 “白页” 来欺骗广告检测系统。
“如果(广告)明显很假很差,就会引起怀疑。我们认为在这个案例中,作案者从一所确实使用思科 AnyConnect 的大学窃取内容,这个主意相当巧妙。”
真正的受害者会被重定向到一个伪造的思科 AnyConnect 下载页面,该页面与合法网站极为相似。此页面上的下载链接指向一个托管在被入侵 WordPress 网站上的恶意安装程序。
来源:Malwarebytes
一旦安装程序被执行,它会解压并运行一个名为 client32.exe 的恶意可执行文件,这是 NetSupport RAT 的一个变种。该木马使攻击者能够远程控制受害者的计算机、窃取数据并安装更多恶意软件。
攻击者使用两个 IP 地址来控制 NetSupport RAT,分别是 91.222.173 [.] 67 和 199.188.200 [.] 195。
这场活动提醒我们,即使像谷歌广告这样值得信赖的来源也可能被用于传播恶意软件。用户在点击广告时应保持谨慎,即便它们看起来是合法的。及时更新软件并使用可靠的安全解决方案来防范恶意软件也至关重要。