目前网上出现持续性滥用Google搜索广告(Google Ads)以散播恶意软件加载程序的恶意广告攻击(Malvertising)活动,通过恶意软件加载程序,攻击者能利用KoiVM虚拟化技术,成功规避安全侦测并植入Formbook资料窃密程序。
长久以来,诱使用户执行内置微软Office中的恶意宏,以自动植入恶意软件的攻击手法,一直都是历久弥新的黑客最爱。直到去年,微软终于看不下去日益泛滥的恶意宏攻击,而决定凡是从网络下载的文件,其内置的宏一律加以封锁。
毕竟恶意攻击者也不是省油的灯,岂非会坐视使用已久的恶意宏攻击被白白封锁?于是纷纷转而寻求其他恶意软件传播与感染的替代方案,其中,恶意广告攻击便是在这种刺激下应运而生的新攻击手法。
讲白了,该攻击会投放不是会直接传播恶意软件,就是会引诱用户下载恶意软件的恶意广告。但根据网安公司SentinelLabs的最新研究指出,最新恶意广告攻击还会利用虚拟化技术规避杀毒软件的侦测。
具体而言,该攻击会滥用Google搜索广告来传播统称为“MalVirt”的一系列恶意软件加载程序,用户一旦点开带有该恶意广告的搜索结果后,就会触发该恶意软件加载程序,并随即植入Formbook或XLoader等所谓窃密木马程序,攻击者随后能堂而皇之地窃取用户的密码及其他敏感资讯。
为了确保攻击的成功率,MalVirt恶意软件加载程序特别通过KoiVM.net虚拟化技术,将自身程序代码取代成只有虚拟化框架才能识别的虚拟程序代码,进而达到程序代码混乱化并成功规避杀毒软件侦测的效果及作用。
在SentinelLabs实际观察到的恶意广告攻击活动中,攻击者会滥用Google搜索广告,将恶意网站连接置顶于Google搜索结果首页。该恶意广告并假冒成Blender 3D正版软件的广告,其连接的恶意软网站和该正版软件网站几乎一模一样。
一旦用户“误上贼网”,会随即触发MalVirt,并加载Formbook或XLoader窃密木马。所以用户今后只要看到任何带有的“广告”标签的搜索结果,还是不点为妙。
(首图来源:Original: GoogleVectorization: Wefk423, Public domain, via Wikimedia Commons)