骗子会为流行的 AnyDesk、Dropbox 和 Telegram 应用程序的 Google 搜索结果支付高昂的费用,这些应用程序会导致恶意的、信息窃取的网站。
研究人员已经追踪到了几个日益流行的信息窃取者的起源——包括Redline、Taurus、Tesla和 Amadey——威胁行为者通过谷歌搜索结果中的按点击付费 (PPC) 广告进行传播。
周三,漏洞预防公司 Morphisec 发布了一份公告,其中表示,在过去的一个月里,它调查了出现在搜索结果首页的付费广告的来源,这些广告导致下载恶意 AnyDesk、Dropbox 和 Telegram 包裹作为 ISO 映像。
这不是我们第一次看到通过出现在 Google 搜索结果中的广告推送流行的远程桌面应用程序 AnyDesk 的虚假版本。就在一周前,我们看到操纵的 AnyDesk 广告提供了该程序的木马版本。较早的活动甚至超过了 AnyDesk 在 Google 上的广告活动,在其付费结果中排名更高。
研究人员写道,这一次,谷歌 PPC 广告针对美国和“可能其他一些国家”的特定 IP 范围。非目标 IP 被重定向到下载正确应用程序的合法页面。
这些攻击链如何工作
研究人员调查了导致 Redline、Taurus 和新的迷你 Redline 信息窃取程序妥协的三个攻击链。其中两个对手——利用 Taurus 和 mini-Redlineare 的对手——正在使用类似的模式、证书和命令和控制中心 (C2)。第三个使用 Redline,而 Morphisec 计划在单独的帖子中撰写 Amadey 活动。
为什么谷歌扫描没有捕捉到这些?
谷歌表示,它使用专有技术和恶意软件检测工具来“定期扫描所有广告素材”,禁止广告试图呼叫第三方或分包给未经认证的广告商,它会提取分发恶意软件的广告,以及授权购买者发现包含恶意软件的广告将被暂停至少三个月。
那么,这些通过骗子在付费广告上花费真钱资助的不良广告如何继续出现在搜索结果的顶部?Threatpost 联系谷歌询问。与此同时,Morphisec 的调查显示,解压后的 Redline 恶意软件“即使是最大的安全供应商也会混淆”,使用如下所述的混淆技术。简而言之,这些攻击之所以成功,是因为骗子在 Google AdWords 上花费了真金白银,他们想出了如何逃避 Google 的恶意广告筛查,并建立了一个带有签名的合法证书的网站——例如,最长两周前——设计误导网站访问者。
大量混淆
正如研究人员所描述的那样,所有攻击都始于十几个付费 Google 广告中的一个,这些广告指向一个下载 ISO 图像的网站——一个大到可以绕过扫描的网站。他们解释说:“ISO 映像大小大于 100MB,这使得映像可以避开一些针对吞吐量和大小进行优化的扫描解决方案。” “安装 ISO 映像会生成通常(但并非总是)经过数字签名和合法验证的可执行文件。”
对手一号抛弃了 Redline 信息窃取者。它使用已知的混淆器(包括 DeepSea)混淆 .Net 可执行文件。他们继续说,这会导致自定义混淆的 .Net DLL 加载程序最终导致自定义混淆的 Redline 窃取程序 .Net 可执行文件。
就其本身而言,Adversary Two 提供了 Taurus 和一个迷你 Redline信息窃取程序,该信息窃取程序具有一些用于窃取浏览器数据的通用功能,并围绕其配置和通信模式进行了四层混淆处理。研究人员写道,至于Taurus AutoIt 信息窃取程序,其可执行文件重新创建并执行合法的 AutoIt 编译器,其中包含恶意 AutoIt 脚本和恶意加密的 Taurus 可执行文件,该可执行文件将被挖空到 AutoIt 进程中。
在最佳搜索结果中弹出不良广告
Morphisec 研究人员发现,通过简单搜索“anydesk download”,他们会看到三个按点击付费的 Google 广告,所有这些广告都会导致恶意信息窃取者,如下图所示。前两个广告指向 Redline 窃取者,而第三个指向 Taurus 信息窃取者。
针对被恶意信息窃取者操纵的网站的 Google PPC 广告
在搜索“anydesk download”时,三个按点击付费的 Google 广告作为最高结果返回。所有这三个都会导致恶意信息窃取者。资料来源:Morphisec
红线信息窃取者
Redline 信息窃取网站由Sectigo 证书签名。单击任何网站上的下载按钮会导致脚本执行验证 IP 并从远程网站hxxps://desklop.pc-whatisapp[.]com/传送工件。这些工件——一个 zip 文件和三个 ISO 文件——每隔几天就会更新并重新上传到站点。研究人员解释说,每个 ISO 文件都包含一个非常小的 .Net 可执行文件,在某些情况下,它也经过数字签名。
可执行文件的第一层使用 DeepSea 进行混淆,第二层是在内存中执行的自定义混淆 .Net DLL,而第三层是著名的 Redline infostealer,它与jasafodidei[.]xyz:80 进行通信。
Morphisec 提供了一个快照,显示了 Redline 所针对的所有数据库——该集合表明,令人惊讶的是,信息窃取者的目标是也在俄语国家使用的浏览器。许多恶意软件株都避开了这些国家。
Redline 信息窃取者针对的各种数据库。资料来源:Morphisec
金牛座信息窃取者
Taurus infostealer 的投放方式类似,作为搜索流行的 AnyDesk、Dropbox 和 Telegram 应用程序的第三个付费广告出现。这一次,Taurus 信息窃取者的网站使用合法的、新鲜的 Cloudflare 证书进行签名,但同样,时间不超过两周。
在 Taurus 案例中没有重定向到网站。相反,下载结果来自提交的表单,该表单由“get.php”处理,然后直接从网站提供 ISO 映像。
如果目标不在信息窃取者追踪的 IP 地址范围内,用户将看到正常重定向到合法应用程序网站,类似于 Redline 信息窃取者发生的情况。如果目标的 IP 处于最佳位置,它将下载带有自解压存档 (SFX) 的 ISO 映像。
这是一个 7-Zip SFX (7z) 存档:一个独立的 Windows .exe 程序文件,它可以解压缩使用开源 7-Zip 软件创建的存档,而实际上不需要 7-Zip 或任何其他工具。它从第一个批处理文件开始执行,伪装成 .flv、.bmp 或任何其他唯一的扩展名。然后将批处理脚本作为输入重定向到 cmd.exe。
那些 7z SFX 档案四处走动:研究人员表示,VirusTotal 搜索具有类似规避技术的此类档案导致过去一个月上传了 400 多个档案。如果它检测到一个已知的沙箱提供者,它就不会执行它。
Morphisec 研究人员表示,它还通过直接在启动文件夹中的 URL 链接来实现持久化。“该链接在漫游时从隐藏文件夹执行 Javascript(使用 attrib -H 取消隐藏),”他们写道。Javascript 文件使用复制的 Taurus AutoIt 脚本执行 AutoIt 编译器。
迷你红线信息窃取者
与 Taurus 活动类似,导致 mini-Redline 信息窃取者的广告网站也使用 Cloudflare 证书签名。在这种情况下,为了规避目的,威胁行为者用零填充 ISO 文件以增加文件大小。
这次的可执行文件是一个 .Net 程序集,具有未知的混淆模式,被四层混淆和空洞隐藏。第四层导致已知的窃取功能,在最初的静态外观中,让人联想到 Redline。“毫不奇怪,对解压文件的 VT 扫描表明,即使是最大的安全供应商也会感到困惑,”研究人员观察到。“作为 Chrome 凭据盗窃的一部分实施的方法和字符串几乎相同。在这两种情况下,数据库在被解密之前都被复制到一个临时位置,使用类似的方法和类名来这样做,即使目标浏览器的数量很少。”
但是,它使用不同的通信通道:Mini-Redline 使用直接 TCP 套接字连接。研究人员发现,反调试功能包括“ DebuggerHidden ”属性和虚拟化检测。
Mini-Redline 还使用 Windows Management Instrumentation (WMI) 来运行虚拟环境规避检查。
威胁行为者不介意支付现金
Morphisec 的迈克尔·戈雷利克 (Michael Gorelik) 在报告结束时指出,“攻击者将使用任何可能的方法来收集目标,甚至为他们的付费搜索结果支付谷歌最高美元,以将恶意网站作为顶级搜索结果显示出来。”
威胁行动者的机智意味着“组织需要在其运营的各个方面保持警惕。不知道什么时候对手会建立一个带有签名的合法证书的网站,旨在误导网站访问者,”他写道。
“威胁行为者甚至显然愿意支付大量资金来针对可能的受害者,”他继续说道。他指出,2020 年 5 月至 2021 年 4 月期间的 Google Adwords 数据显示,“anydesk”和“anydesk download”这两个关键字的出价在 0.42 美元至 3.97 美元之间。
“假设点击率为 1,000 人,即使是针对美国的小型活动,这也可能导致 420 美元到 3,970 美元的费用,”他观察到。
责怪广告巨兽?
网络安全和合规软件公司 New Net Technologies (NNT) 负责安全研究的全球副总裁 Dirk Schrader 表示,只要管理不善,系统就会像谷歌的广告基础设施一样具有广泛的影响力——或者就此而言,Apple 的 App Store – 将继续将最终用户置于危险之中。今年 4 月,一款名为“丛林奔跑”的儿童游戏在现实中在 Apple App Store 上架,结果证明它是一个由加密货币资助的赌场,旨在骗取人们的钱财。
是否真的需要一个足够大的 ISO 文件来逃避检测?施拉德说,如果是这样,那对谷歌来说就很糟糕了。“在这种情况下,如果简单的规避技术是拥有足够大的 ISO 文件并为广告支付比实际制造商更多的费用以获得更高的排名,那么管理层就疏忽了,”他周四通过电子邮件告诉 Threatpost。“无论何时优化某些东西(在这种情况下是为了速度),都需要定义应该如何处理一些异常的极端情况。谷歌的优化决策似乎打开了一个基于这样一个异常值的攻击向量。”
Schrader 建议,那些下载并安装了恶意软件包的企业应该对其基础设施进行扫描,以识别任何其他已建立的后门。他建议,他们还应该监控任何表明攻击者仍然可以访问的恶意更改。
恶意广告太容易了
Coalfire 的网络执行顾问 Joseph Neumann 表示,这些恶意广告并不是复杂的攻击。他周四通过电子邮件告诉 Threatpost:“获取合法程序并将其与恶意有效载荷打包,向广告托管提供商付款并发布内容相当简单。”
即使他们很难实现,支付足够高的工资也会让你获得发动这些攻击所需的人才,他说:“就像任何网络安全人才一样,足够的钱会吸引最优秀的人才,而复杂性只会让你来增加。”
我们甚至应该报告这些攻击吗?“对手每天都在变得越来越成功,并继续获得回报,”诺伊曼深思熟虑。“有了这种媒体名声,它只会为更无耻和复杂的攻击火上浇油。”