黑客将恶意软件植入伪造版 Signal、WhatsApp 及 Chrome 应用

一项新发现的网络攻击通过冒充可信软件提供商，对毫无戒心的用户实施侵害。FortiGuard实验室研究人员表示，威胁行为者通过SEO插件和注册仿冒域名操纵搜索算法。受害者访问这些网站后，会被诱骗下载木马化安装程序。被冒用的知名平台包括：Signal、WhatsApp、Deepl、Chrome、Telegram、Line、VPN服务商、WPS Office等。

这些欺诈网站会分发多种恶意软件家族，最值得注意的是Hiddengh0st和Winos新变种。攻击者将恶意组件捆绑在看似提供真实应用程序的安装包中。

安装程序一旦启动，便会将恶意DLL文件释放到隐藏目录，获取管理员权限，并执行旨在规避检测的功能。该恶意软件使攻击者能够收集详细的系统与受害者信息、枚举杀毒软件和安全工具、记录键盘输入和剪贴板数据、捕获前景窗口标题和屏幕活动、加载额外插件以扩展监控与控制能力等。

恶意软件投放的插件还表明，攻击者可能截获Telegram通信。

此次攻击活动加剧了SEO投毒技术的泛滥，该技术通过操纵搜索引擎将欺诈网站推至搜索结果前列。即使坚持查看”可信”搜索排名的警惕用户，也可能因此类攻击措手不及。

报告显示，该活动主要针对中文用户。FortiGuard实验室研究人员表示，“安装包同时包含合法应用程序和恶意载荷，使用户难以察觉感染”，“即使高排名搜索结果也以这种方式被武器化，这凸显了下载软件前仔细检查域名的重要性”。

思科、Talos此前研究已发现多起SEO投毒活动，攻击者使用流行AI应用引诱受害者。多个勒索软件团伙曾通过ChatGPT、InVideo等平台伪装恶意软件。另一起欺诈活动则冒用PayPal、苹果、美国银行、Netflix和微软名义，网络罪犯通过购买谷歌赞助广告伪装成大品牌，将受害者诱导至虚假网站以下载恶意软件。

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；