微软警告黑客使用谷歌广告分发皇家勒索软件

一个正在发展的威胁活动集群被发现在其一个活动中使用谷歌广告来分发各种妥协后的有效载荷，包括最近发现的皇家勒索软件。

微软于2022年10月下旬发现了更新的恶意软件交付方法，目前正在以该名称追踪该组织DEV-0569.

微软安全威胁情报团队在一份分析中表示：“观察到的DEV-0569攻击显示出一种不断创新的模式，定期采用新的发现技术、防御规避和各种妥协后有效载荷，同时增加勒索软件的便利性”。

众所周知，威胁扮演者依靠恶意广告将毫无戒心的受害者指向恶意软件下载者链接，这些链接充当Adobe Flash Player、AnyDesk、LogMeIn、Microsoft Teams和Zoom等合法应用程序的软件安装者。

恶意软件下载器，一种称为BATLOADER的菌株，是一个滴管，用作分发下一阶段有效载荷的管道。据观察，它与另一个名为ZLoader的恶意软件共享重叠。

eSentire和VMware最近对BATLOADER进行的一项分析指出，该恶意软件具有隐蔽性和持久性，此外，它还利用搜索引擎优化（SEO）中毒引诱用户从受损网站或攻击者创建的域下载恶意软件。

或者，通过垃圾邮件、假论坛页面、博客评论，甚至目标组织网站上的联系人表单，共享网络钓鱼链接。

“DEV-0569使用PowerShell和批处理脚本使用了各种感染链，最终导致下载恶意软件有效负载，如信息窃取者或用于在网络上持久化的合法远程管理工具，”这家科技巨头指出。

“该管理工具还可以成为勒索软件的转移和传播的入口”。

还使用了一种称为NSudo的工具，通过添加注册表值来禁用防病毒解决方案，以提升权限启动程序并削弱防御。

该公司指出，使用谷歌广告有选择地交付BATLOADER标志着DEV-0569的分发载体多样化，使其能够到达更多目标并交付恶意软件有效载荷。

它进一步将该组织定位为其他勒索软件操作的初始访问代理，加入Emotet、IcedID和Qakbot等恶意软件。

微软表示：“由于DEV-0569的网络钓鱼方案滥用合法服务，组织还可以利用邮件流规则来捕获可疑关键字或审查广泛的例外情况，例如与IP范围和域级别允许列表相关的例外情况”。