企业使用 Google Ads 向目标受众展示广告,以增加流量和销售额。自 12 月初以来,IcedID僵尸网络分发者一直在利用同样的方法,即 SEO 中毒,引诱搜索引擎用户访问导致恶意软件下载的虚假网站。
通过 Google Ads 进行恶意广告
攻击者正在选择流行品牌和应用程序使用的关键字并对其进行排名,以劫持 Google 按点击付费 (PPC) 的广告,在有机搜索结果上方显示恶意广告。
趋势科技研究人员透露,攻击者正在劫持 Adob??e、AnyDesk、Brave Browser、Chase Bank、Discord、Fortinet、GoTo、Teamviewer、Thunderbird、美国国税局 (IRS) 等公司使用的关键字。
攻击者滥用合法的 Keitaro 流量导向系统 (TDS) 来过滤研究人员和沙盒流量,并将潜在受害者重定向到合法组织和知名应用程序的克隆网页。
如果用户单击“下载”按钮,则会在用户系统上下载包含恶意 Microsoft 软件安装程序 (MSI) 或 Windows 安装程序文件的 ZIP 文件。
该文件用作初始加载程序,获取 bot 核心,并最终删除后门有效负载。
逃避检测
在恶意广告攻击中,IcedID 运营商使用了多种方法来使其检测具有挑战性。
一些被修改为用作 IcedID 加载程序的文件是众所周知且广泛使用的库,例如 tcl86.dll、sqlite3.dll、ConEmuTh.x64.dll 和 libcurl.dll。
IcedID 修改后的 MSI 或安装程序文件与合法版本几乎相同,这使得机器学习检测引擎和白名单系统的检测具有挑战性。
具有不同策略的相同恶意软件
在过去几个月中,网络犯罪分子使用 IcedID 获得初始访问权限、在主机上建立持久性并执行其他非法操作。
10 月,观察到攻击者使用意大利语或英语的网络钓鱼电子邮件通过 ISO 文件、档案或载有宏的文档附件来删除 IcedID。
9 月,有人看到 UAC-0098 组织使用 IcedID 和 Cobalt Strike 有效载荷瞄准乌克兰组织和意大利的非政府组织。
同月,Raspberry Robin蠕虫感染正在部署 IcedID。
结论
IcedID 背后的威胁行为者最近一直在使用各种分发方法,预计可以确定哪些方法适用于不同的目标。利用 Google PPC 广告推送恶意软件的活动相对成功,值得关注。用户必须寻找欺诈或网络钓鱼网站的迹象,并对从此类网站进行的任何下载保持谨慎。
