HackerNews 编译，转载请注明出处： 经发现，黑客正利用搜索引擎优化投毒与搜索引擎广告推广伪造的微软 Teams 安装程序，向 Windows 设备植入 Oyster 后门程序，借此获取企业网络的初始访问权限。 Oyster 恶意软件又称 Broomstick 和 CleanUpLoader，是一款于 2023 年年中首次出现的后门程序，此后与多起攻击活动相关联。该恶意软件能让攻击者远程访问受感染设备，执行命令、部署额外有效载荷（恶意代码）并传输文件。 Oyster 通常通过伪装成热门 IT 工具（如 PuTTY、WinSCP）的恶意广告活动传播。勒索软件团伙（如 Rhysida 团伙）也曾利用该恶意软件入侵企业网络。 伪造微软 Teams 安装程序传播恶意软件 网络安全公司 Blackpoint 的安全运营中心（SOC）发现，在一场新的恶意广告与 SEO 投毒攻击活动中，威胁攻击者推广了一个伪造网站 —— 当用户搜索 “Teams download（Teams 下载）” 时，该网站会出现在搜索结果中。 尽管这些广告和域名并未仿冒微软官方域名，但会引导用户进入 “teams-install [.] top” 网站 —— 该网站伪装成微软 Teams 的官方下载页面。点击页面中的下载链接，会下载一个名为 “MSTeamsSetup.exe” 的文件，而这与微软官方 Teams 安装程序的文件名完全一致。 这款恶意的 “MSTeamsSetup.exe” 文件（可在 VirusTotal 查询）还使用了来自 “4th State Oy” 和 “NRM NETWORK RISK MANAGEMENT INC” 两家公司的数字证书进行代码签名，以此增加文件的 “合法性”，降低用户警惕。 然而，当用户执行该伪造安装程序时，程序会将一个名为 “CaptureService.dll” 的恶意动态链接库（可在 VirusTotal 查询）植入系统的 “% APPDATA%\Roaming” 文件夹（用户漫游配置文件夹）。 为实现持久化控制（确保恶意软件在设备重启后仍能运行），该伪造安装程序会创建一个名为 “CaptureService” 的计划任务，每 11 分钟执行一次上述恶意 DLL，从而保证后门程序持续活跃。 此类攻击手法与此前 “伪造谷歌 Chrome 浏览器安装程序”“伪造微软 Teams 安装程序” 传播 Oyster 恶意软件的行为高度相似，也印证了 “SEO 投毒 + 恶意广告” 仍是攻击者入侵企业网络的常用手段。 Blackpoint 在报告中指出：“此次攻击活动表明，攻击者仍在滥用 SEO 投毒与恶意广告，以‘可信软件’为伪装传播大众化后门程序。” “与今年早些时候发现的‘伪造 PuTTY 安装程序’攻击活动类似，威胁攻击者正利用用户对‘搜索结果’和‘知名品牌’的信任，获取（企业网络的）初始访问权限。” 由于 IT 管理员是攻击者的重点目标（攻击者希望通过攻陷管理员账户获取高权限凭证），因此建议 IT 管理员仅从经验证的官方域名下载软件，且避免点击搜索引擎中的广告链接。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 Vane Viper 的威胁行为者近日被揭露为恶意广告技术（adtech）的提供者，其背后依靠错综复杂的空壳公司与不透明的所有权结构来规避责任。 “Vane Viper 至少十年来一直为大规模恶意广告投放、广告欺诈以及网络威胁的传播提供核心基础设施。”Infoblox 在上周与 Guardio 和 Confiant 联合发布的技术报告中表示。 “Vane Viper 不仅为木马投放者和钓鱼者提供流量中介，还似乎运营着自己的广告欺诈活动，这与此前记录的欺诈手法高度一致。” 一、背景与溯源 Vane Viper 也被称为 Omnatuor。早在 2022 年 8 月，DNS 威胁情报公司就曾披露这一恶意广告网络，称其与 VexTrio Viper 类似，利用存在漏洞的 WordPress 网站构建庞大的受控域名网络，以此传播风险软件、间谍软件和广告软件。 该组织的一项显著持久性技术是 滥用推送通知权限，即便用户已离开最初访问的页面，仍能通过修改浏览器设置持续推送广告。这一方法依赖于 service workers，它们会保持一个持久的无头浏览器进程，以监听事件并推送不受欢迎的通知。 去年年底，Guardio Labs 披露了一项名为 DeceptionAds 的攻击活动，发现其利用 Vane Viper 的恶意广告网络来推动 ClickFix 式的社会工程攻击。该活动被归因于一家名为 Monetag 的公司，而据 Infoblox 称，Monetag 是 PropellerAds 的子公司，而 PropellerAds 又隶属于总部位于塞浦路斯的 AdTech Holding 控股公司。 与 PropellerAds 相关的域名长期以来因助长恶意广告投放、引流至漏洞利用工具包或其他欺诈网站而被标记。进一步分析还发现，一些广告欺诈活动的基础设施源自 PropellerAds。 二、庞大的基础设施与规模 网络安全公司表示，过去一年内，Vane Viper 在约一半客户网络中触发了 约 1 万亿次 DNS 查询。该组织利用数十万受控网站和恶意广告，将毫无防备的用户重定向至：恶意浏览器扩展、虚假购物网站、色情内容、调查问卷诈骗、假冒应用、可疑软件下载、恶意软件（包括 Android 恶意软件 Triada）。 此外，Vane Viper 似乎与 URL Solutions（又名 Pananames）、Webzilla 和 XBT Holdings 共用基础设施和人员。值得注意的是，URL Solutions 还与俄罗斯影响力行动 Doppelgänger 搭建的虚假信息网站有关。AdTech Holding 旗下的其他公司还包括 ProPushMe、Zeydoo、Notix 和 Adex。 据估算，约 6 万个域名 属于 Vane Viper 的基础设施，大多数活跃时间不足一个月。但也有少数域名已持续活跃超过 1200 天，其中包括最初的 omnatuor[.]com、propeller-tracking[.]com，以及一些围绕推送通知服务的域名。 该组织每月都会注册大量新域名。仅在 2024 年 10 月，注册域名数就高达 3500 个，而在 2023 年 4 月还不到 500 个。据统计，自 2023 年以来，Vane Viper 的域名占 URL Solutions 批量注册域名的近 50%。 三、官方回应与风险 PropellerAds 此前否认存在任何不当行为，声称自己只是一个“自动化的中介，帮助广告商寻找合适的发布者投放广告”，并且“并不支持、纵容或鼓励网络上的恶意广告”。 然而，Infoblox 指出：“Vane Viper 不只是一个隐藏在广告技术平台背后的威胁行为者，它本身就是作为广告技术平台运作的威胁行为者。AdTech Holding 声称为广告商提供规模化的覆盖与变现，但其实际交付的却是风险”，“Vane Viper 借助作为广告网络的合理否认，隐藏自身身份，同时利用其 TDS（流量分发系统） 投放多种威胁”。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在利用X平台的内置AI助手Grok，绕过该平台为减少恶意广告而引入的链接发布限制。 正如Guardio Labs研究员Nati Tal所发现，恶意广告商经常运行包含成人内容诱饵的可疑视频广告，并避免包含指向主站的链接以避免被X平台拦截。 相反，他们将链接隐藏在视频卡片下方不起眼的“From:”元数据字段中，该字段显然未被社交媒体平台扫描以检查恶意链接。 接下来，（很可能是）同一批行为者通过回复广告来询问Grok关于帖子的信息，例如“这个视频来自哪里？”或“这个视频的链接是什么？”。 Grok会解析隐藏的“From:”字段，并在回复中以可点击的格式提供完整的恶意链接，使用户能够点击并直接进入恶意网站。 由于Grok在X平台上自动是一个受信任的系统账户，其发布的内容提升了链接的可信度、覆盖范围、搜索引擎优化（SEO）和声誉，从而增加了该链接被广播给大量用户的可能性。 研究人员发现，许多此类链接通过 shady 广告网络进行跳转，最终导向诸如虚假验证码（CAPTCHA）测试、信息窃取恶意软件和其他恶意负载的诈骗。 这些链接不仅没有被X平台阻止，反而通过恶意广告向平台用户推广，并借助Grok进一步扩大了影响力。 Tal将利用此漏洞的技术称为“Grokking”，并指出其非常有效，在某些情况下能将恶意广告的曝光量放大至数百万次展示。 潜在的解决方案包括扫描所有字段、拦截隐藏链接以及对Grok添加上下文清理机制，这样AI助手就不会在用户询问时盲目地反馈链接，而是会根据拦截列表对其进行过滤和检查。 Tal向我们确认，他已联系X平台报告此问题，并得到了非官方确认，表示Grok工程师已收到报告。 BleepingComputer也联系了X平台，询问他们是否意识到这种滥用行为以及是否计划采取任何措施，但在本文发布前未收到回复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场旨在传播 Atomic macOS Stealer (AMOS) 变种的高级恶意广告活动已针对数百家组织发起。 在 2025 年 6 月至 8 月期间，该活动将受害者引向欺诈性的 macOS 帮助网站，并诱使他们执行恶意的单行安装命令。 其最终目的是让受害者感染 SHAMOS 变种（AMOS 信息窃取程序），该变种由恶意软件即服务 (MaaS) 团伙 Cookie Spider 开发。 在此期间，CrowdStrike 表示其阻止了该恶意广告活动企图入侵其超过 300 个客户环境的尝试。 “这次活动突显了恶意单行安装命令在网络犯罪（eCrime）行为者中的流行程度。” CrowdStrike 在最近的一篇博客中表示。 该技术使网络犯罪分子能够绕过 Gatekeeper 安全检查，将 Mach-O（一种主要由 macOS 使用的二进制格式）可执行文件直接安装到受害者设备上。 Cuckoo Stealer 和 SHAMOS 的操作者曾在 2024 年 5 月至 2025 年 1 月期间发生的 Homebrew 恶意广告活动中利用过此方法。 CrowdStrike 指出，该恶意广告网站出现在包括英国、美国、日本、中国、哥伦比亚、加拿大、墨西哥、意大利等地的谷歌搜索结果中。 该公司的分析称，没有受害者位于俄罗斯。“这很可能是因为俄罗斯的网络犯罪论坛禁止商品化恶意软件操作者针对位于俄罗斯的用户，”该公司表示。 这些欺诈性的 macOS 帮助网站提供了关于用户如何解决问题的错误指导。然而，页面指示受害者复制、粘贴并执行一个恶意的单行安装命令，该命令会解码 Base64 编码的字符串。 随后，该命令会从 https[:]//icloudservers[.]com/gm/install[.]sh 下载一个文件。该文件是一个 Bash 脚本，会捕获用户密码并从 https[:]//icloudservers[.]com/gm/update 下载 SHAMOS 的 Mach-O 可执行文件。 自 2025 年 6 月首次报告此类活动以来，CrowdStrike Counter Adversary Operations 表示，他们持续观察到机会主义的网络犯罪威胁行为者利用恶意的 GitHub 仓库诱使受害者执行下载 SHAMOS 的命令。 CrowdStrike Counter Adversary Operations 高度确信，网络犯罪行为者很可能会继续利用恶意广告和单行安装命令来分发 macOS 信息窃取程序。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意广告网络如同不死鸟，每次被打击后都会以新名称重生，犯罪团伙随即蜂拥而至。安全研究团队近期揭露：网站黑客与特定广告技术公司存在深度勾结。 自2015年底起，黑客劫持WordPress等网站后，会将访问者重定向至VexTrio——全球最大的犯罪流量分发系统（TDS）。该恶意联盟计划进而通过被劫持网站传播恶意软件、诈骗信息及非法内容。这套犯罪系统如同智能路由：在伪装无害的前提下，精准将用户引导至恶意站点。 安全公司Infoblox研究发现，多家表面独立的广告技术公司实际与该犯罪网络紧密交织。整个体系犹如多头蛇怪：一个广告技术节点被斩断，立即会有新节点补位。11月13日曝光的瑞士-捷克广告公司Los Pollos便是典型代表——该企业不仅参与犯罪活动，更被俄罗斯虚假信息组织Doppelganger用于宣传操作。 Los Pollos的推送链接变现服务关停后，被劫持的WordPress网站立即更新重定向机制，以完全相同的方式将用户导向新广告技术平台Help TDS。调查显示，Help TDS并非新生系统，而是与VexTrio勾结多年的老牌犯罪渠道。GoDaddy研究团队曾指出，Help与此前发现的“一次性TDS”高度相似，两者均长期为VexTrio输送犯罪流量。 深层溯源揭露更多广告技术公司与VexTrio存在惊人共性：共享代码架构的Partners House、BroPush、RichAds等平台，其URL结构、核心文件均指向同一技术源头。尽管这些企业均存在俄罗斯关联且长期互相引流，但至今未发现明确的共同股权关系。 犯罪链条的商业模式 为何黑客不自建网络而依赖广告平台？关键在于精细化欺诈：恶意流量分发系统按“用户行为”向被劫持网站支付佣金——当受害者提交邮箱、信用卡等敏感信息时，犯罪收益便自动生成。 这些所谓“广告内容”实为诈骗陷阱： 冠以“主流交友”、“抽奖活动”之名的加密货币骗局 成人内容与恶意软件下载站 通过欺诈性订阅推送通知实施持续诈骗 犯罪广告平台通常运营封闭的广告池，仅对特定恶意合作伙伴开放。 犯罪基础设施的双重布局 Infoblox通过分析450万次DNS查询，发现两套位于俄罗斯的独立控制服务器集群： 使用差异化主机服务 配置不同的重定向域名 采用分离的URL结构 共同点为最终均指向VexTrio犯罪网络。 追责困境与突破口 犯罪者身份仍隐匿于： 通过Cloudflare等代理服务隐藏行踪 利用防弹主机掩盖服务器位置 刻意分割技术特征规避溯源 广告平台常以“无法管控恶意合作方”推诿责任，强调其仅充当发布商与广告主的中介。但安全团队指出：这些平台掌握着犯罪联盟的会员信息与交易数据，实为追踪犯罪者的关键突破口。能否配合执法提交证据，将成为检验其是否“被动涉罪”的试金石——毕竟它们清楚知晓，每天将多少无辜访客引向了全球诈骗犯的陷阱。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Netacea最新研究显示，大西洋两岸近半数消费者曾遭遇社交媒体平台推送的零售欺诈广告，这些广告以“退款技巧”为幌子诱导用户参与诈骗。该公司对英美2000余名消费者展开调查，发现欺诈行为正通过主流社交媒体的高曝光广告逐渐“去罪化”。 地下犯罪产业阳光化 报告指出，以往仅存于暗网“欺诈即服务”论坛的犯罪指南，如今公然现身TikTok等平台。Netacea威胁服务副总裁Matthew Gracey-McMinn分析称：“犯罪组织利用社交媒体近乎无限的‘干净账户’资源（即未被风控系统标记的可信账户），通过诱导千禧一代‘轻松赚钱’，实际上将其培养成实施恶意活动的‘数字骡子’。” 触目惊心的数据 45%受访者承认收到过零售欺诈指南广告，58%接触过伪装成网红内容的退款骗局 16%认为零售欺诈属于“无受害者犯罪”，58%认为零售商应自行承担欺诈损失且不会影响经营 23%曾产生欺诈冲动，15%表示在特定条件下会尝试更严重的欺诈行为，34%认为单笔100英镑以内的欺诈可以接受 社交裂变式传播 18%受访者表示看到过网红推广欺诈手段，而通过亲友（37%）、同事（21%）、同学（9%）接触相关信息的比例高达82%。常见欺诈手法包括：谎称未收到货物骗取退款/补发、调包退货、盗用支付信息购物、使用非法获取的礼品卡或账户余额消费、雇佣专业“退单服务商”等。 内部腐败风险攀升 18%受访者承认认识从事内部欺诈的人员（其中12%在零售企业工作，6%在物流服务商任职）。这与Ravelin上周发布的报告相呼应——零售商普遍认为普通消费者带来的威胁已不亚于职业欺诈团伙。 Netacea警告称，欺诈行为的文化接受度正在发生危险转变：“我们每天监控暗网市场的职业罪犯，但如今零售欺诈技术已从阴影走向公开——它们在朋友间传播，在网络平台大肆推广。令人震惊的是，相当部分公众不仅看得见这些行为，甚至认为其可以接受。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

据观察，一种新的恶意广告活动利用谷歌搜索和必应的广告，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标，诱骗他们下载木马安装程序，目的是入侵企业网络，并可能在未来实施勒索软件攻击。 Sophos在周三的一份分析报告中称，这种 “机会主义 “活动被称为 “Nitrogen“，旨在部署Cobalt Strike等第二阶段攻击工具。 eSentire 在 2023 年 6 月首次记录了 Nitrogen，详细描述了一个感染链，它将用户重定向到受攻击的 WordPress 网站，最终将 Python 脚本和 Cobalt Strike Beacons 发送到目标系统上。 Sophos 研究人员表示：”在整个感染链中，威胁方使用不常见的导出转发和 DLL 预加载技术来掩盖其恶意活动“。 Python 脚本一旦启动，就会建立一个 Meterpreter 反向 TCP 外壳，从而允许攻击者在受感染的主机上远程执行代码，并下载一个 Cobalt Strike Beacon 以便后期利用。 研究人员说：搜索引擎内显示的广告已成为攻击者常用的手段。通过广撒网的方式，诱使毫无戒心的用户点击并下载。 这其中包括，网络犯罪分子利用付费广告引诱用户访问恶意网站，诱使他们下载 BATLOADER、EugenLoader（又名 FakeBat）和 IcedID 等多种恶意软件，然后利用这些恶意软件传播信息窃取程序和其他有效载荷。 不仅如此，Sophos 还说它在著名的暗网市场上发现了 “大量关于SEO中毒，恶意广告和相关服务的广告和讨论”，以及提供受损Google Ads帐户的卖家。 这也进一步说明 “攻击者对 SEO 中毒和恶意广告有着浓厚的兴趣”。     转自Freebuf，原文链接:https://www.freebuf.com/articles/373279.html 封面来源于网络，如有侵权请联系删除