脸书虚假加密货币交易所广告传播恶意软件
网络安全公司Bitdefender近日揭露,不法分子通过脸书(Facebook)广告网络实施持续性恶意软件攻击,利用伪造的加密货币交易平台和名人形象作为诱饵,通过恶意桌面客户端和PowerShell脚本传播恶意程序。
Bitdefender研究人员发现,攻击者冒用Binance、TradingView等知名交易所品牌,并在广告中植入埃隆·马斯克(Elon Musk)和赞达亚(Zendaya)等名人形象,以此增强虚假加密货币交易推广的可信度。当用户点击这些广告后,会被重定向至高度仿真的钓鱼网站,诱导其下载所谓的"桌面客户端"。
图片来源:Bitdefender
该恶意软件采用多层攻击架构:下载的客户端会释放恶意DLL文件,在受害者计算机上启动基于.NET的本地服务器,形成隐蔽的C2(命令与控制)中心。钓鱼网站前端包含去混淆脚本,通过WMI(Windows管理规范)查询与服务器通信,进而执行更多恶意负载。
精准投放与反检测机制攻击最终阶段通常会执行多个经过编码的PowerShell脚本,从远程服务器下载附加恶意程序。值得注意的是,攻击者实施了高级反沙箱检测技术,仅对符合特定人口统计特征和行为模式的"高价值目标"投放恶意负载。
Bitdefender研究员Ionut Baltariu指出,未携带特定广告追踪参数、未登录脸书账户,或使用"无价值"IP地址及操作系统的用户,只会看到无害内容。这种精准投放策略使攻击者能在最大化攻击效果的同时,最小化被安全分析发现的风险。
24小时投放超百条恶意广告研究人员已识别出数百个活跃推广恶意页面的脸书账户。其中某案例显示,单个页面在24小时内就投放了超过100条广告。虽然脸书会定期清除这些欺诈广告,但许多广告在被下架前已获得数千次浏览。
攻击者还创建了与TradingView等平台官方页面高度相似的虚假脸书专页,甚至伪造了宣传虚假赠品活动的帖子和评论。这些虚假页面中的链接会直接将用户导向恶意软件分发网站。
平台安全警钟再响这并非脸书首次成为恶意软件传播渠道。同日Morphisec公司的研究显示,网络罪犯正通过推广虚假AI平台的欺诈广告传播新型Noodlophile窃密程序。这些案例凸显了犯罪集团如何滥用社交平台的覆盖范围和广告投放能力,也警示用户需提高警惕并加强防护措施。
Bitdefender建议用户:谨慎对待网络广告、使用欺诈链接检测工具、保持安全软件更新,并及时举报可疑的脸书广告。
