【安全圈】又一广告软件被曝光，可自动获取用户屏幕截图

关键词

近日，研究人员发现了一个名为 AdsExhaust 的虚假广告软件。当用户搜索 Windows的Meta Quest应用程序时，就会被提示下载该软件。

据网络安全公司 eSentire 称，该软件能够从受感染的设备中获取屏幕截图，并使用模拟击键与浏览器进行交互。这些功能使其能够自动点击广告或将浏览器重定向到特定 URL，为广告软件运营商创造收入。

起初，他们是通过利用搜索引擎优化（SEO）中毒技术在谷歌搜索结果页面上显示假网站（"oculus-app[.]com"），然后诱骗那些网站访问者下载一个包含 Windows 批处理脚本的 ZIP 压缩包（"oculus-app.EXE.zip"）。

该批处理脚本旨在从命令与控制 (C2) 服务器获取第二个批处理脚本，该脚本反过来又包含获取另一个批处理文件的命令。它还会在机器上创建计划任务，以便在不同时间运行批脚本。

在这一步之后，合法应用程序会被下载到被入侵的主机上，与此同时，额外的 Visual Basic 脚本 (VBS) 文件和 PowerShell 脚本会被投放，以收集 IP 和系统信息、截图，并将数据外泄到远程服务器（"us11[.]org/in.php"）。

服务器的响应是基于 PowerShell 的 AdsExhaust 广告软件，它会检查微软的 Edge 浏览器是否正在运行，并确定用户最后一次输入的时间。

eSentire 表示：如果 Edge 正在运行，且系统闲置时间超过 9 分钟，脚本就会注入点击，打开新标签，并导航到脚本中嵌入的 URL。然后，它会随机上下滚动打开的页面。这种行为被怀疑是为了触发网页上的广告等元素，特别是考虑到 AdsExhaust 会在屏幕上的特定坐标内执行随机点击。

此外，该广告软件还能在检测到鼠标移动或用户交互时关闭打开的浏览器，创建一个覆盖层以向受害者隐藏其活动，同时还能在当前打开的 Edge 浏览器标签页中搜索 "赞助商 "一词以点击广告，从而达到增加广告收入的目的。

它还能从远程服务器获取关键字列表，并通过启动进程 PowerShell 命令启动 Edge 浏览器会话，从而对这些关键字执行 Google 搜索。

加拿大公司指出：AdsExhaust 是一种广告软件威胁，它能巧妙地操纵用户交互并隐藏其活动，以产生未经授权的收入。其包含多种技术，如从 C2 服务器检索恶意代码、模拟按键、捕获屏幕截图和创建覆盖层，以便在进行恶意活动时不被发现。

这次攻击的突出之处在于，威胁者利用了 YouTube 视频为虚假网站做广告，并使用机器人发布虚假评论，误导了那些正在寻找解决方案以解决 Windows 更新错误（错误代码 0x80070643）的用户。

eSentire 表示：这凸显了社会工程学策略的有效性，用户需要谨慎对待他们在网上找到的解决方案的真实性。