在尋找 Windows 端的 Meta Quest 應用程序或針對特定更新錯誤的修複方案時,請務必保持警惕。據網路安全公司 eSentire 的一項分析報告顯示,已發現一款惡意的欺騙版本,該版本偽裝成合法軟體,誘騙用戶下載名為 AdsExhaust 的廣告軟體。
eSentire 指出,這款廣告軟體具備從受感染設備竊取螢幕截圖、模擬用戶擊鍵與瀏覽器交互的能力。它甚至能自動點擊廣告或將瀏覽器重定向至特定 URL,從而幫助廣告軟體運營商非法獲利。
最初的感染鏈通過谷歌搜索結果頁面展示一個名為「oculus-app[.]com」的虛假網站,誘騙不明真相的訪問者下載含有 Windows 批處理腳本的ZIP文件(「oculus-app.exe.ZIP」)。這些腳本旨在從 C2 伺服器獲取更多惡意代碼,並在被感染的設備上設置計劃任務,以便在預定時間執行這些腳本。
隨後,合法的應用程序可能會被下載到受感染的主機,但同時會有額外的 VBS 文件和 PowerShell 腳本被部署,用於收集 IP 地址、系統資訊,截取螢幕截圖,並將這些敏感數據發送到遠程伺服器(「us11[.]org/in.php」)。
當 Microsoft Edge 瀏覽器處於活動狀態且系統空閒超過 9 分鐘時,AdsExhaust 廣告軟體會檢測並注入點擊事件,打開新的瀏覽器標籤頁,並導航至預設 URL。它還會在打開的頁面上隨機滾動,可能是為了觸發網頁上的廣告等元素。
此外,一旦檢測到用戶活動,如鼠標移動或交互,該廣告軟體會關閉瀏覽器窗口,創建覆蓋層以掩蓋其活動,並在 Edge 的當前選項卡中搜索「贊助」等關鍵詞,以點擊相關廣告,增加廣告收益。
eSentire 進一步指出,AdsExhaust 不僅具備從 C2 伺服器檢索惡意代碼、模擬擊鍵、捕獲螢幕截圖的能力,還能通過遠程伺服器獲取關鍵詞列表,並使用 PowerShell 命令啟動 Edge 瀏覽器會話,進行針對性的谷歌搜索。
此次攻擊的一個顯著特點是,攻擊者還利用 YouTube 影片為虛假網站做廣告,並通過機器人發布欺詐性評論,以在用戶尋求解決 Windows 更新錯誤(如錯誤代碼 0x80070643)時增加可信度。
eSentire 強調:「用戶在尋找網路上的解決方案時,必須審慎甄別資訊的真實性。」
