导语:这一功能强大且此前从未被披露的攻击载体,长期通过分布在多国的壳公司进行周密隐匿。
安全研究员最新发现,Predator间谍软件已启用一款名为Aladdin的零点击感染机制——目标对象无需任何主动操作,仅需浏览到一则恶意广告,其设备便会遭到入侵。这一功能强大且此前从未被披露的攻击载体,长期通过分布在多国的壳公司进行周密隐匿。
泄露的Intellexa营销材料
基于广告的间谍软件投放链路
Aladdin机制于2024年首次投入使用,目前被认为仍处于运行状态且在持续迭代开发。该机制借助商用移动广告系统实现恶意软件投放,其核心原理为:
根据目标对象的公网IP地址及其他身份标识锁定人群,再通过需求方平台(DSP)向广告网络内的所有合作网站下发指令,强制向目标推送植入恶意程序的广告。
这类恶意广告可出现在任何投放广告的平台,比如用户信任的新闻网站或移动应用,其外观与目标日常浏览的普通广告无异。而根据内部资料显示,目标仅需查看该广告即可触发设备感染,完全无需点击广告本身。
Aladdin 概述
尽管目前暂无该感染流程的具体技术细节,但谷歌方面指出,这类广告会触发页面跳转,将用户导向Intellexa的漏洞利用载荷分发服务器。
这些恶意广告的投放链路还涉及一套遍布多国的复杂广告公司网络,涵盖爱尔兰、德国、瑞士、希腊、塞浦路斯、阿联酋、匈牙利等国家。
针对这类恶意广告的防护难度较大,不过安全专家建议,在浏览器中开启广告拦截功能可作为基础防护手段;此外,将浏览器设置为向追踪器隐藏公网IP,也能降低被精准定向的风险。但泄密文件显示,Intellexa仍可从客户所在国的本土移动运营商处获取相关身份信息。
三星Exynos芯片漏洞与零日漏洞利用
泄密文件的另一项关键发现,是证实了另一款名为Triton的投放载体的存在。该载体可针对搭载三星Exynos芯片的设备,通过基带漏洞发起攻击,先强制设备网络降级至2G模式,为后续感染创造条件。
分析师暂无法确认该投放载体是否仍在使用,同时指出另有两款疑似功能类似的攻击机制,代号分别为Thor与Oberon,推测其可能涉及无线电通信攻击或物理接触式攻击。
谷歌研究人员称,从零日漏洞利用规模来看,Intellexa已跻身全球最活跃的商用间谍软件厂商之列——自2021年以来,谷歌威胁分析小组(TAG)共发现并记录70起零日漏洞利用事件,其中15起均由该公司主导。
谷歌表示,Intellexa既会自主研发漏洞利用工具,也会从外部机构采购漏洞利用链,以实现对各类目标的全面覆盖。
尽管Intellexa在希腊已面临制裁及持续调查,但其间谍软件业务依旧保持高度活跃。随着Predator间谍软件的隐蔽性与溯源难度不断提升,安全机构建议用户为移动设备开启额外防护,例如安卓设备的高级保护模式、iOS设备的锁定模式。
文章来源自:https://www.bleepingcomputer.com/news/security/predator-spyware-uses-new-infection-vector-for-zero-click-attacks/如若转载,请注明原文地址
