威胁行为者利用被操纵的搜索结果和虚假的谷歌广告来欺骗那些想要下载像WinSCP这样的合法软件来安装恶意软件的用户。

网络安全公司Securonix正在追踪正在进行的活动，名为“SEO#潜伏者”。

“恶意广告将用户引导到受攻击的WordPress网站gameeweb[.]com，该网站将用户重定向到攻击者控制的网络钓鱼网站，”安全研究人员Den Iuzvyk、Tim Peck和Oleg Kolesnikov在与黑客新闻分享的一份报告中说。

据信，威胁行为者利用谷歌的动态搜索广告(DynamicSearchAdds，DSA)，该广告根据网站的内容自动生成广告，为恶意广告提供服务，这些广告会将受害者带到受感染的网站。

这个复杂的多级攻击链的最终目标是引诱用户点击假冒的、看起来很像的 WinSCP 网站，并下载恶意软件。

研究人员说：“从 gaweeweb [.] com 网站到假 winsccp [.] net 网站的流量依赖于正确设置的引用头。”“如果推荐者是错误的，该用户就是‘Rickrolled’，并被发送到臭名昭著的Rick Astley的YouTube视频。”

最后的有效负载是一个ZIP文件（”WinSCP_v.6.1.zip”），它带有一个安装可执行文件，当启动时，它使用DLL侧加载来加载和执行存档中的一个名为python311.dll的DLL文件。

DLL会下载并执行一个合法的WinSCP安装程序来保持这种策略，同时在后台偷偷地丢弃Python脚本（”slv.py”和”wo15.py”）来激活恶意行为。它还负责设置持久性。

这两个Python脚本都被设计为与远程角色控制的服务器建立联系，以接收进一步的指令，从而允许攻击者在主机上运行枚举命令。

研究人员说：“考虑到攻击者利用谷歌广告散布恶意软件的事实，可以相信这些目标仅限于任何寻求WinSCP软件的人。”

“恶意软件托管网站上使用的地理封锁表明，那些在美国的人是这次攻击的受害者。”

这已经不是谷歌动态搜索广告第一次被滥用来传播恶意软件了。上个月晚些时候，Malware字节公司为一项针对搜索PyCharm的用户的活动揭开了序幕，该活动的目标是搜索PyCharm，链接到一个被黑客攻击的网站，该网站上有一个流氓安装程序，为部署窃取信息的恶意软件铺平了道路。

在过去几年中，恶意广告在网络犯罪分子中越来越受欢迎，近几个月来，许多恶意软件活动使用这种策略进行攻击。

本周早些时候，Malwarebytes还透露，在10月2023年信用卡略读活动的上升，估计已经危及数百个电子商务网站，目的是通过注入令人信服的伪造支付页面来窃取财务信息。