Cybersecurity -onderzoekers hebben een kwaadaardige campagne bekendgemaakt die gebruik maakt van de vergiftigingstechnieken voor zoekmachineoptimalisatie (SEO) om een bekende malware -lader te leveren genaamd Oyster (aka Broomstick of Cleanuploder).
De Malvertising Activity, per Arctic Wolf, promoot nepwebsites die Trojanized -versies van legitieme tools zoals PuTy en WinSCP organiseren, met als doel softwareprofessionals te bedriegen die op zoek zijn naar deze programma’s om ze in plaats daarvan te installeren.
“Na uitvoering wordt een achterdeur bekend als Oyster/Broomstick geïnstalleerd,” zei het bedrijf in een kort gepubliceerde vorige week.
“Persistentie wordt vastgesteld door een geplande taak te maken die om de drie minuten draait, een kwaadaardige DLL uit te voeren (Twain_96.dll) via Rundll32.exe met behulp van de export van DllRegisterserver, wat het gebruik van DLL -registratie als onderdeel van het persistentie mechanisme aangeeft.”
De namen van enkele nep -websites worden hieronder vermeld –
- updaterputty (.) com
- Zephyrhype (.) com
- Putty (.) Run
- Putty (.) weddenschap, en
- puttyyy (.) org
Er wordt vermoed dat de dreigingsacteurs achter de campagne zich ook kunnen richten op andere IT -tools om de malware te leveren, waardoor het absoluut noodzakelijk is dat gebruikers vasthouden aan vertrouwde bronnen en officiële leverancierssites om de nodige software te downloaden.
De openbaarmaking komt omdat Black Hat SEO-vergiftigingstechnieken worden gebruikt voor zoekresultaten van games die zijn geassocieerd met kunstmatige intelligentie (AI) -gerelateerde zoekwoorden om Vidar, Lumma en Legion Loader te verspreiden.
Deze websites worden aangebracht met JavaScript -code die controleert op de aanwezigheid van advertentieblokkers en informatie verzamelt uit de browser van het slachtoffer, voordat ze een omleidingsketen initiëren die uiteindelijk het slachtoffer brengt naar een phishing -pagina met een zip -archief.
“De uiteindelijke downloadpagina’s in deze campagne leveren Vidar Stealer en Lumma Stealer als wachtwoordbeveiligde zip-archieven, met het wachtwoord op de uiteindelijke downloadpagina,” zei ZScaler ThreatLabz. “Eenmaal geëxtraheerd, bevatten ze een 800 MB NSIS -installatieprogramma, een bedrieglijk groot formaat bedoeld om legitieme en bypass -detectiesystemen met beperkingen van de bestandsgrootte te verschijnen.”
Het NSIS -installatieprogramma wordt vervolgens gebruikt om een Autoit -script uit te voeren dat uiteindelijk verantwoordelijk is voor het lanceren van de payloads van Stealer. Het leveringsmechanisme voor Legion Loader, daarentegen, maakt gebruik van een MSI -installatieprogramma om de malware te implementeren via een batchscript.
Er is een vergelijkbare SEO -vergiftigingscampagne waargenomen om phishing -pagina’s te verheffen wanneer gebruikers zoeken naar de namen van populaire webtoepassingen om gebruikers te sturen om CloudFlare Captcha -controlepagina’s te vervalsen die gebruik maken van de beruchte ClickFix -strategie om de Redline Stealer te laten vallen via kaplader.
Volgens gegevens die door Kaspersky zijn verzameld, worden kleine en middelgrote bedrijven (MKB’s) in toenemende mate het doelwit van cyberaanvallen die malware opleveren vermomd als populaire AI- en samenwerkingstools zoals OpenAI Chatgpt, Deepseek, Cisco AnyConnect, Google Drive, Microsoft Office, Microsoft Teams, Salesforce en Zoom.
“Alleen al tussen januari en april 2025 waren ongeveer 8.500 kleine en middelgrote zakelijke gebruikers het doelwit van cyberaanvallen waarin malware of mogelijk ongewenste software werd vermomd als deze populaire tools,” zei het Russische cybersecuritybedrijf.
Zoom was goed voor ongeveer 41%van het totale aantal unieke bestanden, gevolgd door Outlook en PowerPoint met elk 16%, blonk uit op 12%, woord met 9%en teams met 5%. Het aantal unieke kwaadaardige bestanden die chatgpt nabootst, steeg met 115% tot 177 in de eerste vier maanden van 2025.
Hoewel de trend van het misbruiken van nep-zoekmachine-vermeldingen om te profiteren van het impliciet van gebruikers in populaire merken een bekende tactiek is, hebben recente campagnes zoekopdrachten naar technische ondersteuningspagina’s gekoppeld aan Apple, Bank of America, Facebook, HP, Microsoft, Netflix en Paypal om legitieme pagina’s te bedienen door gesponsorde resultaten in Google-maar met een ingenieuze wending.
“Bezoekers worden naar het gedeelte Hulp/ondersteuning van de website van het merk gebracht, maar in plaats van het echte telefoonnummer, tonen de kapers in plaats daarvan hun oplichtingsnummer,” zei Malwarebytes.
Dit wordt bereikt door middel van een techniek genaamd zoekparameterinjectie om in een zoekbalk een nummer te tonen dat onder controle van de aanvaller staat om de indruk te wekken dat het een officieel zoekresultaat is binnen de helpcentrumpagina’s en nietsvermoedende gebruikers misleiden om ze te bellen.
Wat de aanval bijzonder verraderlijk maakt, is dat de parameters die aan het recht van het daadwerkelijke helpcentrumdomein zijn toegevoegd (bijv. “Noem ons 1-***-***-**** gratis”) niet zichtbaar zijn in het gesponsorde zoekresultaat, waardoor gebruikers geen reden geven om te vermoeden dat u iets mis is.
Het is niet alleen het advertentieplatform van Google. Dreigingsacteurs zijn ook betrapt op het bedienen van nepadvertenties op Facebook aan Phish voor cryptocurrency portemonnee herstelzinnen en het verspreiden van malware in combinatie met PI2Day, een jaarlijks evenement gekoppeld aan de PI -netwerkgemeenschap.
De malware, verspreid via advertenties die gebruikers aansporen om een nieuwe versie van de PI Network -desktop -app voor Windows te installeren, wordt geleverd met mogelijkheden om opgeslagen referenties en crypto -portefeuilletoetsen te stelen, gebruikersinvoer te loggen en extra payloads te downloaden, terwijl ze de detectie ontwijken.
De Roemeense cybersecuritybedrijf Bitdefender zei dat de activiteit mogelijk het werk is van een enkele dreigingsacteur die “parallelle frauderegelingen op meta uitvoert om bereik, financieel gewinst en richtefficiëntie te maximaliseren.”
Het eindigt hier niet, want nepwebsites die zich voordoen als AI, VPN-services en andere bekende softwaremerken zijn gevonden om Poseidon Stealer op MacOS-systemen te leveren en een lader-bon-daglader, die vervolgens fungeert als een leiding voor Lumma Stealer op Windows-machines. De activiteit is codenaam Dark Partners door beveiligingsonderzoeker G0NJXA.
Payday Loader vertrouwt op Google Calendar-links als een dode drop-resolver om de opdracht-en-controle (C2) -server te extraheren en geobuseerde JavaScript-code te verkrijgen die is ontwikkeld om de lummel lading van Lumma Stealer en Siphon-gevoelige gegevens te laden.
Interessant is dat het e-mailadres dat werd gebruikt om de Google Agenda-evenementen te maken (“Echeverridelfin@gmail (.) Com”) werd ook gespot in verband met een kwaadaardig NPM-pakket genaamd “OS-Info-Checker-ES6.” Dit geeft aan dat de actoren van Dark Partners waarschijnlijk hebben geëxperimenteerd met verschillende leveringsmechanismen.
“De betaaldaglader heeft een knooppunt. JS Stealer -module om cryptocurrencies -portemonnee -gegevens te exfiltreren naar een externe C2,” zei G0njxa. “Met behulp van de ADM-ZIP-bibliotheek voor Node.js kan de betaaldaglader portemonnee-informatie vinden, inpakken en verzenden naar een hard gecodeerde C2-host.”
Deze campagnes gaan hand in hand met een voortdurend fenomeen waarbij oplichters en cybercriminelen uitgestrekte netwerken opzetten die duizenden websites omvatten om populaire merken te vervalsen en financiële fraude te plegen door echte producten te adverteren die nooit worden geleverd. Een dergelijk netwerk, door Silent Push genoemd, koopt Facebook -advertenties ruimte om meer dan 4.000 schetsmatige sites te promoten.
De kwaadaardige advertenties voor Facebook -markt worden een paar dagen uitgevoerd, waarna ze worden gestopt, waardoor alle sporen van hen effectief worden verwijderd uit de meta -advertentiebibliotheek. Het is de moeite waard erop te wijzen dat Meta de afgelopen zeven jaar alleen advertenties heeft behouden over sociale kwesties, verkiezingen en politiek.
“Dit hielp om te bevestigen dat er een bekend meta -advertentiebibliotheekbeleid bestond en benadrukte dat deze dreigingsactoren hier mogelijk gebruik van maakten door advertenties snel te lanceren en te stoppen voor vergelijkbare producten op verschillende pagina’s,” zeiden Silent Push -onderzoekers.
Een ander netwerk dat door het bedrijf wordt gezien, gericht op Engelse en Spaanse talen shoppers met nepmarktadvertenties, wordt beoordeeld als het werk van Chinese dreigingsactoren. Deze websites zijn voornamelijk ontworpen om creditcardinformatie te stelen die op betalingspagina’s is ingevoerd, terwijl ze beweren de bestellingen te verwerken. Sommige nepsites omvatten ook Google Pay Aankoop -widgets om betalingen mogelijk te maken.
“Deze nepmarktcampagne is vooral gericht op consumenten met een phishing-dreiging die grote merken, bekende organisaties en de bekendheid van sommige politieke figuren exploiteert,” zei Silent Push.
