众所周知，网络犯罪分子会利用恶意广告技术来攻击广泛使用的 Windows Notepad++ 文本编辑器。这可能导致勒索软件和恶意软件的传播。在这些恶意广告活动中，威胁行为者利用了 Google 广告。根据 Malwarebytes 的说法，它似乎已经完全逃避了检测至少几个月。它的独特之处在于能够识别用户指纹并分发时间敏感的有效负载。

实施人工智能驱动的电子邮件安全解决方案“Trustifi”可以保护您的企业免受当今最危险的电子邮件威胁，例如电子邮件跟踪、阻止、修改、网络钓鱼、帐户接管、商业电子邮件泄露、恶意软件和勒索软件研究人员发现，恶意广告由同一威胁行为者分发，但来自不同的受感染广告帐户。当用户点击其中一个广告时，就会发生第一个筛选步骤。这可能是一种 IP 检查，会忽略 VPN 和其他欺诈性 IP 地址并显示诱饵站点。

诱饵网站
尽管如此，目标用户将看到正版Notepad++网站的副本，该网站托管在 notepadxtreme[.]com 上。当用户单击下载链接时，JavaScript 代码会运行系统指纹作为过滤的第二步。尽管这里使用的恶意软件不同且更先进，但据观察，某些恶意广告活动会检查模拟器或虚拟计算机是否存在。 如果任何测试不匹配，用户将被发送到官方Notepad++网站。每个潜在受害者都会获得一个独特的 ID，使他们能够下载有效负载。除了使每次下载不同并限制持续时间外，唯一 ID 可能还用于跟踪原因。此恶意广告活动的有效负载是 a.hta 脚本。如果尝试从同一 URL 下载文件，则会遇到 404 错误。研究人员表示：“我们认为，这是威胁行为者使用Cobalt Strike等工具来访问受害者机器的恶意基础设施的一部分。”

推荐
因此，在过去的几个月里，人们注意到恶意广告活动的范围和复杂性都有所增加。跟踪有害广告使我们能够识别并迅速阻止威胁行为者利用的基础设施。跟踪恶意软件分发链使我们能够发现可用于绕过现有安全措施的新方法并相应地更新我们的检测。