據(jù)觀察，一種新的惡意廣告活動利用谷歌搜索和必應的廣告，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用戶為目標，誘騙他們下載木馬安裝程序，目的是入侵企業(yè)網絡，并可能在未來實施勒索軟件攻擊。

Sophos在周三的一份分析報告中稱，這種 "機會主義 "活動被稱為 "Nitrogen"，旨在部署Cobalt Strike等第二階段攻擊工具。

eSentire 在 2023 年 6 月首次記錄了 Nitrogen，詳細描述了一個感染鏈，它將用戶重定向到受攻擊的 WordPress 網站，最終將 Python 腳本和 Cobalt Strike Beacons 發(fā)送到目標系統(tǒng)上。

Sophos 研究人員表示："在整個感染鏈中，威脅方使用不常見的導出轉發(fā)和 DLL 預加載技術來掩蓋其惡意活動“。

Python 腳本一旦啟動，就會建立一個 Meterpreter 反向 TCP 外殼，從而允許攻擊者在受感染的主機上遠程執(zhí)行代碼，并下載一個 Cobalt Strike Beacon 以便后期利用。

研究人員說：搜索引擎內顯示的廣告已成為攻擊者常用的手段。通過廣撒網的方式，誘使毫無戒心的用戶點擊并下載。

這其中包括，網絡犯罪分子利用付費廣告引誘用戶訪問惡意網站，誘使他們下載 BATLOADER、EugenLoader（又名 FakeBat）和 IcedID 等多種惡意軟件，然后利用這些惡意軟件傳播信息竊取程序和其他有效載荷。

不僅如此，Sophos 還說它在著名的暗網市場上發(fā)現(xiàn)了 "大量關于SEO中毒，惡意廣告和相關服務的廣告和討論”，以及提供受損Google Ads帳戶的賣家。

這也進一步說明 "攻擊者對 SEO 中毒和惡意廣告有著濃厚的興趣"。

參考鏈接：https://thehackernews.com/2023/07/new-malvertising-campaign-distributing.html