利用伪造Google广告传播勒索软件的攻击活动

关键要点

• 攻击者通过伪造Google广告传播恶意软件，目标是Windows系统管理员。
• 使用了近似拼写的域名，以伪造的WinSCP和PuTTy网站引导用户下载恶意DLL文件。
• 该活动与以往的BlackCat/ALPHV攻击相似，强调了网络安全威胁的持续演变。
• 此类攻击正日益增加，针对包括AnyDesk、VLC和Malwarebytes等广泛使用的软件。

根据的报告，在一项针对Windows系统管理员的活动中，攻击者利用伪造的Google广告试图分发勒索软件。

攻击的手法

攻击者利用近似拼写的域名创建了假冒的WinSCP和PuTTy网站，这些链接重定向至合法网站，并下载包含恶意DLL文件的ZIP压缩包。根据Rapid7的报告，这个恶意DLL有助于部署Sliver后渗透工具包，从而发送CobaltStrike信标和其他恶意payload以获取初始网络访问权限。此外，研究人员还注意到，威胁行为者尝试进行数据窃取和勒索软件传播活动，但最终被阻止。

“Rapid7观察到的相关技术、战术和程序（TTP）让人想起去年Trend Micro报告的BlackCat/ALPHV攻击活动，”Rapid7研究员Tyler McGraw表示。

广泛的恶意广告活动

这种事件的发生恰逢针对广泛使用软件的恶意广告活动日益增多，涉及软件包括AnyDesk、VLC、Malwarebytes、MSIAfterburner、7-Zip、CCleaner、Brave和Grammarly等。这些活动凸显了网络环境中的风险，用户应提高警惕，确保下载软件时来自可信来源。

随着技术的不断发展，网络攻击的方式也愈加复杂，用户和企业需不断更新防护措施以抵御此类网络威胁。