近日，有安全人員發現有黑客再次濫用谷歌廣告向目標用戶發送信息竊取惡意軟件，這次他們利用廣告跟蹤功能，向企業用戶發送 Slack 和 Notion 等流行協作群件的虛假廣告。

本周，AhnLab 安全情報中心（ASEC）的研究人員發布的文章中提到，黑客利用了統計功能嵌入傳播惡意軟件（包括 Rhadamanthys 竊取程序）的 URL。該功能允許廣告商在廣告中插入外部分析網站地址，以收集和使用訪問者的訪問相關數據來計算廣告流量。

但研究人員發現，黑客並沒有插入外部統計網站的 URL，而是濫用該功能進入網站分發惡意代碼。目前此類廣告已被刪除。但根據ASEC的說法，當這些廣告仍處于“活動”狀態時，如果用戶不小心點擊了橫幅廣告，仍然會跳轉到下載惡意文件的頁面。

在類似的攻擊活動中，Rhadamanthys 僞裝成了企業常用的安裝程序。一旦惡意軟件被安裝和執行，它就會從黑客的服務器下載惡意文件和有效載荷。

ASEC 的帖子詳細介紹了黑客是如何精心策劃的這一活動。

該活動使用的典型安裝程序是 Inno Setup 安裝程序或 Nullsoft Scriptable Install System (NSIS) 安裝程序；具體而言，黑客使用了以下可執行文件： Notion_software_x64_.exe、Slack_software_x64_.exe、Trello_software_x64_.exe 和 GoodNotes_software_x64_32.exe。

ASEC在其發布的博文中提到：惡意軟件一旦被執行，就會使用可以保存文本的網站（如textbin或tinyurl）來訪問惡意有效載荷地址。同時，他們還列出了黑客用來獲取這些地址的URL，這些地址隨後會被發送給用戶。

據 ASEC 稱，該活動的最終有效載荷是 Rhadamanthys 竊取程序，它會通過"%system32%"路徑注入到合法的 Windows 文件中。研究人員指出，這使得竊取程序可以在用戶不知情的情況下竊取用戶的私人數據。

Rhadamanthys一個非常受黑客歡迎的信息竊取軟件，可以在暗網上通過惡意軟件即服務的模式購買。它是一個典型的竊取程序，可用于收集系統信息，如計算機名稱、用戶名、操作系統版本和其他機器詳細信息。它還會查詢已安裝浏覽器（包括 Brave、Edge、Chrome、Firefox、Opera Software）的目錄，搜索並竊取浏覽器曆史記錄、書簽、cookie、自動填充、登錄憑證和其他數據。

事實上，這並非黑客首次濫用谷歌廣告及其相關功能來傳播 Rhadamanthys 和其他惡意軟件，也很可能不是最後一次。去年 1 月，就曾有研究人員發現的黑客使用了谷歌廣告的網站重定向和流行遠程工作軟件（如 Zoom 和 AnyDesk）的虛假下載誘餌來傳播 Rhadamanthys。

黑客甚至還會濫用該服務的 "動態搜索廣告 "功能，通過創建有針對性的廣告來發送大量惡意軟件，從而擴大惡意活動的效果。

ASEC警告稱，由于 "所有提供追蹤功能以計算廣告流量的搜索引擎都可能被用來傳播惡意軟件"，因此用戶在訪問谷歌提供的廣告鏈接時必須保持警惕。用戶應 "注意訪問網站時看到的 URL，而不是廣告橫幅上顯示的 URL"，以避免落入惡意活動的圈套。

此外，ASEC 還發布了一份與該活動不同階段相關的 URL 綜合列表，以幫助管理員識別是否有企業用戶受到該活動的影響。

參考來源：https://www.darkreading.com/cyberattacks-data-breaches/attackers-use-google-ad-feature-to-target-slack-notion-users