利用谷歌引擎排名进行SEO投毒
2022-8-25 08:2:46 Author: 雾晓安全(查看原文) 阅读量:34 收藏

    根据网络安全研究人员发现,Google搜索结果中存在使用SEO投毒和恶意广告将恶意共享软件站点推高,其中提高推广假冒软件以及破解和产品激活密钥生成器寻求下载盗版软件的网络用户

据使用受害者称,用于引诱受害者的软件包括以下内容:
  • 3DMark
  • Adobe Acrobat Pro3
  • DVista Virtual Tour Pro
  • 7-Data Recovery Suite
  • MAGIX Sound Force Pro
  • Wondershare Dr. Fone
其中这些软件伪装恶意程序并且一旦打开就会重定向到其他服务器打开下载文件。

传递恶意文件的重定向站点域名位于“xyz”和“cfd”顶级域上,并且下载的文件是包含一个1.3MB密码保护的ZIP文件以逃避AV扫描和一个带有密码的TXT文件。

使用字节填充将解压后的ZIP气球大小增加到600MB是许多恶意软件作者遵循的常见反分析做法并且包含的可执行文件是一个恶意软件加载程序,它会生成一个编码的PowerShell命令,该命令会在10秒超时后启动Windows命令提示符 (cmd.exe),以逃避沙盒分析。cmd.exe进程下载一个 JPG文件,该文件实际上是一个 DLL 文件,其内容反向排列。

加载程序以正确的顺序重新排列内容,最终的DLL,即RedLine Stealer有效负载,并将其加载到当前线程中。
Redline窃取程序是一种强大的信息窃取恶意软件,它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭据、计算机详细信息等。 
在某些情况下,Zscaler 注意到威胁参与者丢弃了“RecordBreaker”窃取恶意软件的副本,其中包含用于混淆和避免检测的Themida工具。RecordBreaker 所针对的信息同样广泛,因此最终的有效载荷对受害者来说并没有太大的区别。

为了避免任何一种情况,请避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可访问付费软件的内容。即使做出这些虚假承诺的网站在搜索结果中的排名很高,但这并不能使它们合法或值得信赖。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247494888&idx=1&sn=2eb6a4f70e917dc2d7e66037df616e94&chksm=ce68236ef91faa78b57b7c1646939508f649b193c19e5b257b4dc800be51461948b6afa67d4e#rd
如有侵权请联系:admin#unsafe.sh