目前網上出現持續性濫用 Google 搜尋廣告(Google Ads)以散播惡意軟體載入程式的惡意廣告攻擊(Malvertising)活動,透過惡意軟體載入程式,攻擊者能利用 KoiVM 虛擬化技術,成功規避安全偵測並植入 Formbook 資料竊密程式。
長久以來,誘使使用者執行內嵌微軟 Office 中的惡意巨集,以自動植入惡意軟體的攻擊手法,一直都是歷久彌新的駭客最愛。直到去年,微軟終於看不下去日益泛濫的惡意巨集攻擊,而決定凡是從網路下載的文件,其內嵌的巨集一律加以封鎖。
畢竟惡意攻擊者也不是省油的燈,豈非會坐視使用已久的惡意巨集攻擊被白白封鎖?於是紛紛轉而尋求其他惡意軟體散布與感染的替代方案,其中,惡意廣告攻擊便是在這種刺激下應運而生的新攻擊手法。
講白了,該攻擊會投放不是會直接散布惡意軟體,就是會引誘使用者下載惡意軟體的惡意廣告。但根據網安公司 SentinelLabs 的最新研究指出,最新惡意廣告攻擊還會利用虛擬化技術規避防毒軟體的偵測。
具體而言,該攻擊會濫用 Google 搜尋廣告來散布統稱為「MalVirt」的一系列惡意軟體載入程式,使用者一旦點開帶有該惡意廣告的搜尋結果後,就會觸發該惡意軟體載入程式,並隨即植入 Formbook 或 XLoader 等所謂竊密木馬程式,攻擊者隨後能堂而皇之地竊取使用者的密碼及其他敏感資訊。
為了確保攻擊的成功率,MalVirt 惡意軟體載入程式特別透過 KoiVM.net 虛擬化技術,將自身程式碼取代成只有虛擬化框架才能識別的虛擬程式碼,進而達到程式碼混亂化並成功規避防毒軟體偵測的效果及作用。
在 SentinelLabs 實際觀察到的惡意廣告攻擊活動中,攻擊者會濫用 Google 搜尋廣告,將惡意網站連結置頂於 Google 搜尋結果首頁。該惡意廣告並假冒成 Blender 3D 正版軟體的廣告,其連結的惡意軟網站和該正版軟體網站幾乎一模一樣。
一旦使用者「誤上賊網」,會隨即觸發 MalVirt,並載入 Formbook 或 XLoader 竊密木馬。所以使用者今後只要看到任何帶有的「廣告」標籤的搜尋結果,還是不點為妙。
(首圖來源:Original: GoogleVectorization: Wefk423, Public domain, via Wikimedia Commons)
科技新報粉絲團
加入好友
訂閱免費電子報
