警惕！通过谷歌和必应搜索广告传播的新型恶意活动

据观察，警惕一种新的通过恶意广告活动利用谷歌搜索和必应的广告 
，以AnyDesk 、谷歌告传Cisco AnyConnect VPN和WinSCP等IT工具的和必活动用户为目标，诱骗他们下载木马安装程序，应搜目的模板下载索广是入侵企业网络，并可能在未来实施勒索软件攻击
。新型

Sophos在周三的恶意一份分析报告中称 ，这种 "机会主义 "活动被称为 "Nitrogen" ，警惕旨在部署Cobalt Strike等第二阶段攻击工具。通过

eSentire 在 2023 年 6 月首次记录了 Nitrogen，云计算谷歌告传详细描述了一个感染链
，和必活动它将用户重定向到受攻击的应搜 WordPress 网站 ，最终将 Python 脚本和 Cobalt Strike Beacons 发送到目标系统上 。索广

Sophos 研究人员表示："在整个感染链中，新型威胁方使用不常见的导出转发和 DLL 预加载技术来掩盖其恶意活动“
。

Python 脚本一旦启动 ，源码下载就会建立一个 Meterpreter 反向 TCP 外壳，从而允许攻击者在受感染的主机上远程执行代码
，并下载一个 Cobalt Strike Beacon 以便后期利用 。

研究人员说：搜索引擎内显示的广告已成为攻击者常用的手段
。通过广撒网的源码库方式，诱使毫无戒心的用户点击并下载。

这其中包括 ，网络犯罪分子利用付费广告引诱用户访问恶意网站，诱使他们下载 BATLOADER、EugenLoader（又名 FakeBat）和 IcedID 等多种恶意软件 ，然后利用这些恶意软件传播信息窃取程序和其他有效载荷。免费模板

不仅如此 ，Sophos 还说它在著名的暗网市场上发现了 "大量关于SEO中毒 
，恶意广告和相关服务的广告和讨论” ，以及提供受损Google Ads帐户的卖家。

这也进一步说明 "攻击者对 SEO 中毒和恶意广告有着浓厚的香港云服务器兴趣"。

参考链接：https://thehackernews.com/2023/07/new-malvertising-campaign-distributing.html