HackerNews 编译，转载请注明出处： 经发现，黑客正利用搜索引擎优化投毒与搜索引擎广告推广伪造的微软 Teams 安装程序，向 Windows 设备植入 Oyster 后门程序，借此获取企业网络的初始访问权限。 Oyster 恶意软件又称 Broomstick 和 CleanUpLoader，是一款于 2023 年年中首次出现的后门程序，此后与多起攻击活动相关联。该恶意软件能让攻击者远程访问受感染设备，执行命令、部署额外有效载荷（恶意代码）并传输文件。 Oyster 通常通过伪装成热门 IT 工具（如 PuTTY、WinSCP）的恶意广告活动传播。勒索软件团伙（如 Rhysida 团伙）也曾利用该恶意软件入侵企业网络。 伪造微软 Teams 安装程序传播恶意软件 网络安全公司 Blackpoint 的安全运营中心（SOC）发现，在一场新的恶意广告与 SEO 投毒攻击活动中，威胁攻击者推广了一个伪造网站 —— 当用户搜索 “Teams download（Teams 下载）” 时，该网站会出现在搜索结果中。 尽管这些广告和域名并未仿冒微软官方域名，但会引导用户进入 “teams-install [.] top” 网站 —— 该网站伪装成微软 Teams 的官方下载页面。点击页面中的下载链接，会下载一个名为 “MSTeamsSetup.exe” 的文件，而这与微软官方 Teams 安装程序的文件名完全一致。 这款恶意的 “MSTeamsSetup.exe” 文件（可在 VirusTotal 查询）还使用了来自 “4th State Oy” 和 “NRM NETWORK RISK MANAGEMENT INC” 两家公司的数字证书进行代码签名，以此增加文件的 “合法性”，降低用户警惕。 然而，当用户执行该伪造安装程序时，程序会将一个名为 “CaptureService.dll” 的恶意动态链接库（可在 VirusTotal 查询）植入系统的 “% APPDATA%\Roaming” 文件夹（用户漫游配置文件夹）。 为实现持久化控制（确保恶意软件在设备重启后仍能运行），该伪造安装程序会创建一个名为 “CaptureService” 的计划任务，每 11 分钟执行一次上述恶意 DLL，从而保证后门程序持续活跃。 此类攻击手法与此前 “伪造谷歌 Chrome 浏览器安装程序”“伪造微软 Teams 安装程序” 传播 Oyster 恶意软件的行为高度相似，也印证了 “SEO 投毒 + 恶意广告” 仍是攻击者入侵企业网络的常用手段。 Blackpoint 在报告中指出：“此次攻击活动表明，攻击者仍在滥用 SEO 投毒与恶意广告，以‘可信软件’为伪装传播大众化后门程序。” “与今年早些时候发现的‘伪造 PuTTY 安装程序’攻击活动类似，威胁攻击者正利用用户对‘搜索结果’和‘知名品牌’的信任，获取（企业网络的）初始访问权限。” 由于 IT 管理员是攻击者的重点目标（攻击者希望通过攻陷管理员账户获取高权限凭证），因此建议 IT 管理员仅从经验证的官方域名下载软件，且避免点击搜索引擎中的广告链接。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场利用搜索引擎优化（SEO）投毒技术传播恶意软件加载器Oyster（亦称Broomstick或CleanUpLoader）的攻击活动。据Arctic Wolf分析，该恶意广告活动通过伪造托管合法工具（如PuTTY和WinSCP）木马化版本的网站，诱骗搜索这些程序的技术人员下载安装。报告指出：“程序执行后会植入Oyster/Broomstick后门。攻击者创建每三分钟运行一次的计划任务实现持久化，通过rundll32.exe调用恶意DLL文件（twain_96.dll）的DllRegisterServer导出函数，表明其采用DLL注册机制维持控制。” 已发现的欺诈网站包括： updaterputty[.]com zephyrhype[.]com putty[.]run putty[.]bet puttyy[.]org 攻击者可能还针对其他IT工具传播恶意软件，用户必须严格依赖可信渠道和官方供应商站点下载软件。 当前黑帽SEO投毒技术正被用来操纵人工智能（AI）相关关键词的搜索结果，散布Vidar、Lumma和Legion加载器。这些网站嵌入了检测广告拦截器的JavaScript代码，在收集受害者浏览器信息后启动重定向链，最终导向包含ZIP压缩包的钓鱼页面。“最终下载页面提供受密码保护的ZIP压缩包（内含Vidar/Lumma窃密程序），密码直接显示在下载页面上，”Zscaler ThreatLabz分析称，“解压后出现800MB的NSIS安装包，攻击者刻意设置超大体积以绕过文件大小检测机制。”该安装包通过AutoIt脚本激活窃密载荷。而Legion加载器则采用MSI安装包配合批处理脚本进行部署。 同类SEO投毒活动还通过伪造热门网络应用的搜索结果，将用户导向虚假Cloudflare验证页面，运用臭名昭著的“点击修复”（ClickFix）策略，借助Hijack加载器传播RedLine窃密程序。卡巴斯基数据显示，2025年1至4月期间，约8500家中小企业遭遇伪装成ChatGPT、DeepSeek、Cisco AnyConnect等AI/协作工具的恶意攻击。Zoom仿冒文件占比达41%，Outlook与PowerPoint各占16%，ChatGPT恶意文件数量同比激增115%。 尽管滥用虚假搜索列表是常见手段，但近期攻击出现新变种：劫持苹果、美国银行、微软等品牌技术支持页面的赞助搜索结果。用户会被导向品牌官网帮助中心，但页面显示的电话号码已被替换为攻击者控制的号码。该技术通过“搜索参数注入”实现——在网址栏注入伪造号码使其看似官方结果，而实际参数在搜索结果中不可见，极具迷惑性。 攻击者还在Facebook平台投放虚假广告：以“Pi Network桌面版更新”为诱饵传播窃密程序，盗取凭证与加密钱包密钥；通过4000余个仿冒电商网站（GhostVendors网络）投放短期广告实施金融欺诈。安全公司Bitdefender指出这可能是同一攻击者为最大化收益开展的并行欺诈计划。 同时，针对macOS系统的Poseidon窃密程序及Windows平台的PayDay加载器（最终投递Lumma窃密程序）活动被命名为“黑暗伙伴”（Dark Partners）。PayDay加载器利用Google日历事件隐藏C2服务器地址，其使用的邮箱echeverridelfin@gmail[.]com亦关联到恶意npm包“os-info-checker-es6”，表明攻击者持续测试不同传播方式。该加载器通过Node.js模块配合ADM-ZIP库，定位加密钱包数据并外传到硬编码C2服务器。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文