近日,研究人员发现了一个名为 AdsExhaust 的虚假广告软件。当用户搜索 Windows的Meta Quest应用程序时,就会被提示下载该软件。
据网络安全公司 eSentire 称,该软件能够从受感染的设备中获取屏幕截图,并使用模拟击键与浏览器进行交互。这些功能使其能够自动点击广告或将浏览器重定向到特定 URL,为广告软件运营商创造收入。
起初,他们是通过利用搜索引擎优化(SEO)中毒技术在谷歌搜索结果页面上显示假网站("oculus-app[.]com"),然后诱骗那些网站访问者下载一个包含 Windows 批处理脚本的 ZIP 压缩包("oculus-app.EXE.zip")。
该批处理脚本旨在从命令与控制 (C2) 服务器获取第二个批处理脚本,该脚本反过来又包含获取另一个批处理文件的命令。它还会在机器上创建计划任务,以便在不同时间运行批脚本。
在这一步之后,合法应用程序会被下载到被入侵的主机上,与此同时,额外的 Visual Basic 脚本 (VBS) 文件和 PowerShell 脚本会被投放,以收集 IP 和系统信息、截图,并将数据外泄到远程服务器("us11[.]org/in.php")。
服务器的响应是基于 PowerShell 的 AdsExhaust 广告软件,它会检查微软的 Edge 浏览器是否正在运行,并确定用户最后一次输入的时间。
eSentire 表示:如果 Edge 正在运行,且系统闲置时间超过 9 分钟,脚本就会注入点击,打开新标签,并导航到脚本中嵌入的 URL。然后,它会随机上下滚动打开的页面。这种行为被怀疑是为了触发网页上的广告等元素,特别是考虑到 AdsExhaust 会在屏幕上的特定坐标内执行随机点击。
此外,该广告软件还能在检测到鼠标移动或用户交互时关闭打开的浏览器,创建一个覆盖层以向受害者隐藏其活动,同时还能在当前打开的 Edge 浏览器标签页中搜索 "赞助商 "一词以点击广告,从而达到增加广告收入的目的。
它还能从远程服务器获取关键字列表,并通过启动进程 PowerShell 命令启动 Edge 浏览器会话,从而对这些关键字执行 Google 搜索。
加拿大公司指出:AdsExhaust 是一种广告软件威胁,它能巧妙地操纵用户交互并隐藏其活动,以产生未经授权的收入。其包含多种技术,如从 C2 服务器检索恶意代码、模拟按键、捕获屏幕截图和创建覆盖层,以便在进行恶意活动时不被发现。
这次攻击的突出之处在于,威胁者利用了 YouTube 视频为虚假网站做广告,并使用机器人发布虚假评论,误导了那些正在寻找解决方案以解决 Windows 更新错误(错误代码 0x80070643)的用户。
eSentire 表示:这凸显了社会工程学策略的有效性,用户需要谨慎对待他们在网上找到的解决方案的真实性。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022