我们看到的大多数恶意搜索广告都源自谷歌,但威胁行为者也在滥用其他搜索引擎。由于 Microsoft Bing 与 Windows 生态系统和 Edge 浏览器的密切联系,它可能是第二个最佳目标。
在这篇博文中,我们研究了最近一次冒充流行 VPN 软件 NordVPN 的恶意广告活动。恶意广告商正在捕获 Bing 搜索的流量,并将用户重定向到看起来与真实网站几乎一模一样的诱饵网站。
威胁行为者更进一步,试图对恶意安装程序进行数字签名,就好像他们是官方供应商一样。受害者会认为他们获得了 NordVPN,因为它是软件包的一部分,但也会无意中在他们的计算机上安装名为 SecTopRAT 的远程访问木马。
我们已向 Microsoft 报告了恶意 Bing 广告,并将分发基础设施的其他部分报告给了各自的提供商。我们想重申,NordVPN 是合法的 VPN 提供商,他们正在被威胁行为者冒充。
欺诈性 Bing 广告
当通过 Bing 搜索引擎搜索“nord vpn”时,我们发现了一个冒充 NordVPN 的恶意广告。由于广告代码段中的网址,广告本身看起来很可疑。域名nordivpn[.]xyz创建于一天前(2024 年 4 月 3 日)。之所以选择它,可能是因为它看起来与官方名称非常相似,并且可以欺骗那些不太仔细观察的用户。
正如我们经常看到的,广告 URL 只是用作虚假网站的重定向机制,该网站看起来与被冒充的网站相同。这里也是如此,我们重定向到besthord-vpn[.]com(再次注意选择的拼写,“ h ”看起来像“ n ”),它是在几个小时前今天创建的。
该网站看起来非常令人信服,受害者将被诱骗从那里下载该应用程序。与需要注册过程的合法 NordVPN 不同,您可以直接从 Dropbox 下载安装程序。
以下是从恶意广告到下载链接的流量摘要:
恶意软件负载
下载的文件名为NordVPNSetup.exe,并经过数字签名,就像来自其官方供应商一样;但是,签名无效。
该文件包含 NordVPN 安装程序和恶意软件负载。 NordVPN 的安装程序旨在让受害者产生他们实际上正在安装真实文件的错觉。
有效负载被注入到MSBuild.exe中,并将连接到恶意软件作者的命令和控制服务器,地址为 45.141.87[.]216,端口 15647。
该网络流量被新兴威胁检测为 Arechclient2 后门(SecTopRAT 的别名)
结论
恶意广告继续表明,在流行软件下载的幌子下秘密安装恶意软件是多么容易。威胁参与者能够快速、轻松地部署基础设施以绕过许多内容过滤器。
具有 DNS 过滤功能的ThreatDown客户 可以通过启用广告规则来主动阻止在线广告。这是一种简单而有效的方法,可以防止整个组织或特定区域的恶意广告。
我们正在与行业合作伙伴合作取缔此活动,并报告了恶意广告和相关指标。 Dropbox 已采取行动取缔恶意下载。
妥协指标
恶意域名
Nordivpn[.]xyz besthord-vpn[.]com假 NordVPN 安装程序
e9131d9413f1596b47e86e88dc5b4e4cc70a0a4ec2d39aa8f5a1a5698055adfcSecTopRAT C2
45.141.87[.]216参考链接: https://www.malwarebytes.com/blog/threat-intelligence/2024/04/bing-ad-for-nordvpn-leads-to-sectoprat
图片来源网络侵权可联系删除
