據(jù)The Hacker News消息，研究人員發(fā)現(xiàn)，一種新型惡意廣告活動正偽裝成 Windows 新聞門戶網站，傳播含有惡意軟件的虛假CPU-Z 系統(tǒng)分析工具。

雖然眾所周知，惡意廣告活動會建立對應軟件的山寨網站來冒充，但此次活動卻是模仿了新聞門戶網站(WindowsReport.com) ，其目標是針對在 Google 等搜索引擎上搜索 CPU-Z 的用戶，通過呈現(xiàn)惡意廣告，將這些用戶重定向到虛假門戶 (workspace-app[.]online)。

通過谷歌搜索呈現(xiàn)的惡意廣告引導用戶至虛假Windows新聞門戶

惡意網站上托管的已簽名 MSI 安裝程序包含一個惡意 PowerShell 腳本，即一個名為 FakeBat（又名 EugenLoader）的加載程序，充當在受感染主機上部署 RedLine Stealer 的管道。

這絕非谷歌流行軟件的欺騙性廣告第一次成為惡意軟件的傳播媒介。就在不久前，網絡安全公司 eSentire 披露了一個被稱之為Nitrogen 的惡意活動，該活動被認為是 BlackCat 勒索軟件攻擊d 前奏。

加拿大網絡安全公司記錄的另外兩項活動表明，近幾個月來已出現(xiàn)利用將用戶引導至可疑網站的偷渡式下載方法來傳播NetWire RAT、DarkGate和DanaBot等各種惡意軟件系列，表明攻擊者正繼續(xù)越來越多地依賴 NakedPages、Strox 和 DadSec 等 "中間對手"（AiTM）網絡釣魚工具包繞過多因素身份驗證并劫持目標賬戶。

此外，eSentire 還呼吁人們關注一種被稱為 Wiki-Slack 攻擊的新方法，這種用戶定向攻擊手法旨在通過篡改維基百科文章第一段末尾并在 Slack 上共享，將受害者引向攻擊者控制的網站。具體來說，當維基百科 URL 在企業(yè)消息平臺中以預覽形式呈現(xiàn)時，利用 Slack 中 "錯誤處理第一段和第二段之間空白 "的缺陷自動生成鏈接。

實施這種攻擊的一個關鍵前提在于維基百科文章中第二段的第一個詞必須是頂級域（如 in、at、com 或 net），而且這兩段應出現(xiàn)在文章的前 100 個字內。

有了這些條件，攻擊者就可以將這種行為武器化，使 Slack 格式的共享頁面預覽結果指向一個惡意鏈接，一旦受害者點擊該鏈接，就會落入攻擊者設好的陷阱當中。