网络安全研究人员近日披露,攻击者正通过分发伪造的数字营销工具(分别仿冒热门广告优化平台 Madgicx 的 “Madgicx Plus” 插件,以及社交媒体数据分析工具 SocialMetrics 的破解版),向全球数字营销人员传播恶意软件。此类攻击利用营销从业者对 “免费高级工具” 的需求,通过钓鱼链接、地下论坛及社交媒体群组扩散,已导致至少 500 名用户设备被入侵,大量广告账户凭证、客户数据及营销方案被盗。
据趋势科技(Trend Micro)发布的威胁报告显示,伪造工具的传播路径主要分为两类:一是在 Facebook、LinkedIn 的营销交流群组中发布 “Madgicx Plus 永久免费版”“SocialMetrics 解锁全部功能” 等诱饵链接,引导用户下载压缩包;二是向营销人员邮箱发送 “账户升级通知”,伪装成 Madgicx 或 SocialMetrics 官方邮件,附件包含名为 “工具更新包.exe” 的恶意文件。
这些伪造工具在外观上与正版高度相似 —— 例如伪造的 Madgicx Plus 插件会模拟正版的广告投放数据分析界面,甚至能显示虚假的 “ROI(投资回报率)优化建议”,但后台会秘密执行恶意代码:
- 针对 Windows 用户,恶意代码会释放 “FormBook” 信息窃取木马,提取浏览器中保存的广告平台(如 Google Ads、Facebook Ads)登录凭证、Cookie,以及本地存储的客户资料表格;
- 针对 macOS 用户,则会植入 “Atomic Stealer”(原子窃取器)的变种,重点窃取 Apple Keychain 中的账户密码与加密货币钱包信息;
- 所有被入侵设备还会被添加到僵尸网络中,用于后续发起针对广告平台 API 的 DDoS(分布式拒绝服务)攻击,或批量注册虚假营销账户。
攻击者为规避安全软件检测,采用了多重伪装手段:
- 代码混淆与加壳:恶意文件使用 “UPX 加壳” 结合自定义 XOR 加密,静态分析时仅显示 “工具配置模块” 的正常代码,运行后才解密并加载窃取模块;
- 进程伪装:恶意进程会伪装成 “Chrome Helper”“Adobe Update Service” 等常见合法进程,且仅在用户打开营销工具界面时才活跃,关闭工具后自动休眠;
- 规避沙箱检测:通过检查设备是否存在 “营销相关文件”(如 Google Ads 报表、Facebook 广告素材)判断是否为真实用户设备,若检测到沙箱环境则终止执行,降低被安全厂商发现的概率。
研究人员还发现,伪造工具的 C2(命令与控制)服务器伪装成 “营销数据统计平台”,采用 HTTPS 协议传输窃取的数据,且每 24 小时更换一次 IP 地址,进一步增加了溯源与拦截难度。从已捕获的 C2 通信数据来看,攻击者主要来自东欧地区,且已将窃取的 1.2 万组广告账户凭证在地下论坛以 “每组 5-20 美元” 的价格出售。
针对此类威胁,安全机构与受害企业联合提出以下防护措施:
- 仅从官方渠道获取工具:Madgicx 与 SocialMetrics 官方已发布声明,强调 “从未推出免费破解版”“不会通过邮件发送.exe 格式的更新包”,建议用户通过官网或正规应用商店下载工具,核对下载链接的域名(如 Madgicx 官网域名为 “madgicx.com”,警惕 “madgicx-plus.xyz” 等仿冒域名);
- 启用多因素认证(MFA):为所有广告平台、客户管理系统账户启用 MFA(如 Google Authenticator、硬件令牌),即使凭证被盗,攻击者也难以登录账户;
- 定期扫描设备与数据备份:使用 EDR(终端检测与响应)工具定期扫描设备,排查 “FormBook”“Atomic Stealer” 等恶意软件;重要客户数据与营销方案需加密备份,避免因设备被入侵导致数据永久丢失;
- 警惕 “免费工具” 诱饵:数字营销领域的高级工具通常需付费订阅,对 “永久免费”“解锁全部功能” 等宣传保持警惕,避免从非官方论坛、陌生链接下载软件。
目前,Madgicx 与 SocialMetrics 已联合安全厂商推出 “工具真伪验证工具”(可在官网下载),用户输入工具安装包的哈希值即可查询是否为正版;同时,Google、Meta 等广告平台也已加强账户异常登录检测,对 “异地登录”“批量操作广告计划” 等行为触发二次验证,以降低账户被盗后的损失。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
