【安全资讯】利用谷歌PPC广告传播多个窃密程序的恶意活动

近日，研究人员分析了几个窃密软件的攻击链，包括Redline、Taurus和Mini-Redline，这些攻击链都是从谷歌付费（PPC）广告开始的，点击这些广告会导致下载打包为ISO映像的恶意软件包。ISO映像的大小大于100MB，这使得映像可以避开一些针对吞吐量和大小进行优化的扫描解决方案。下载ISO映像会生成经过数字签名和合法验证的可执行文件。

Redline窃密软件

从下图可以看出，搜索“anydesk download”会出现三个谷歌PCC广告。这三个广告都会引导向恶意窃密软件。 前两个广告指向Redline窃密软件，而第三个指向Taurus窃密软件。

TheRedline 信息窃取网站由 Sectigo 证书签名，如下图所示：

双击网站上的任何下载按钮都将执行脚本，该脚本验证 IP 并从远程网站“ hxxps://desklop.pc-whatisapp[.]com/”传送工件。 这些工件每隔几天就会更新并重新上传到网站上。每个 ISO 文件都包含一个非常小的 .Net 可执行文件。在某些情况下，此可执行文件也经过数字签名。

Taurus窃密软件

Taurus窃密软件以类似的方式传播，搜索“anydesk download”时，以第三个谷歌PCC广告的形式出现。网站使用合法的 Cloudflare 证书进行签名，如下图所示：

与 Redline 使用的 Sectigo 证书一样，Taurus 证书的有效期不超过两周。提交表单的下载结果由“get.php”处理，然后直接从网站发送ISO映像。

下载的 ISO 映像包含一个7zSFX 可执行文件。在我们下面介绍的示例中，可执行文件包括 4 个“flv”或 4 个“bmp”文件。Sfx 被配置为从第一个批处理文件开始执行（伪装成 flv、bmp 或任何其他唯一的扩展名）。然后将批处理脚本作为输入重定向到 cmd.exe。

Mini-Redline窃密软件

与 Taurus一样，指向Mini-Redline窃密软件的广告网站也使用 Cloudflare 证书签名，如下图所示：

ISO 内的文件也用零填充，增加文件的大小以进行规避。 可执行文件是具有未知混淆模式的 .Net 程序集，组件的动态拆包显示了4层混淆。最后一层混淆会导致一些已知的窃取功能。

总结：