許多工程師在開發或分析過程中,習慣直接透過 Google 搜尋開源工具(如 Ghidra、dnSpy 或 SpiderFoot)並下載。然而,近期安全研究發現一種大規模的攻擊手法,攻擊者建立高度擬真的偽造網站,利用 SEO(搜尋引擎最佳化)讓這些假網站排在搜尋結果前幾名,甚至蓋過官方網站,將使用者誘導至惡意軟體下載路徑。
這種攻擊的核心不在於網頁內容的欺騙,而在於其背後複雜的流量分發機制。
流量分發系統 TDS 的運作原理
這類攻擊最關鍵的技術是 TDS(Traffic Distribution System,流量分發系統)。TDS 是一種伺服器端邏輯,可以用來根據使用者的特徵(如 IP 地址、瀏覽器版本、地理位置、是否使用 VPN 等)來決定要將使用者導向哪個目標頁面。
在這次的案例中,攻擊者將 TDS 隱藏在 CloudFront 託管的 JavaScript 腳本層之後。當使用者點擊下載按鈕時,系統不會直接下載檔案,而是先經過 TDS 的嚴格篩選。
TDS 的篩選邏輯包含以下幾點,目的是為了躲避安全分析人員的偵測: 首先,它會檢查是否為首次訪問。 其次,它會過濾掉來自數據中心或 VPN 的流量,因為安全研究員通常使用這些環境進行分析。 再次,它具備反機器人與反分析邏輯,如果偵測到是自動化分析工具,就不會發送惡意程式。 最後,它會實施頻率限制。如果同一個 IP 重複嘗試進入,系統會將其導向良性的軟體(例如 Opera 瀏覽器或無關的擴充功能),讓分析人員誤以為該網站沒有問題。
極具欺騙性的視覺偽裝
為了增加可信度,這些假網站採取了極其細膩的偽裝手段。最讓工程師掉以輕心的一點是,當你將鼠標懸停在下載按鈕上時,瀏覽器左下角顯示的連結竟然是真正的官方下載網址。
但實際上,網站使用 JavaScript 攔截了點擊事件。當你真正按下按鈕時,觸發的是導向 TDS 的腳本,而非懸停時顯示的那個真實連結。此外,網頁內容會引用真實的 GitHub 資源,讓快速視覺檢查的開發者產生信任感。
分階段傳播的惡意軟體
一旦使用者通過 TDS 的篩選被判定為真實受害者,系統就會部署分階段的惡意載荷(Payload)。目前發現的威脅主要分為三類:
SessionGate:這是一個多階段的混淆載入器(Loader)。它的作用像是一個搬運工,先在系統中建立據點,並利用強大的反分析機制欺騙沙箱(Sandbox,一種隔離的測試環境),最後才下載真正針對該客戶定制的惡意 DLL 檔案並執行。
Remus Stealer:這是一種資訊竊取軟體,採取 MaaS(Malware-as-a-Service,惡意軟體即服務)模式營運。它能從 20 多種瀏覽器中竊取資料,目標包括加密貨幣錢包、雙重驗證(2FA)工具以及密碼管理器。
AnimateClipper:這是一種針對加密貨幣的剪貼簿劫持工具。當使用者複製加密貨幣錢包地址時,它會偷偷將地址替換成攻擊者的地址,導致使用者將資金轉錯帳戶。
從流量變現到惡意攻擊的演進
研究發現,這類網站最初的目標可能僅僅是流量獲取與廣告變現(Gray Monetization),透過 SEO 搶佔熱門開源工具的關鍵字來賺取廣告費。但隨後,這套成熟的流量管道被轉化為惡意軟體的分發鏈。
對於攻擊者而言,他們不需要自己開發所有病毒,只需要建立一套能精準篩選真實使用者且能躲避偵測的 TDS 管道,就可以將這些高品質的流量「租用」或「出售」給惡意軟體分發者。
實務建議與防範
對於工程師而言,面對這類攻擊,不能僅依賴視覺檢查或懸停連結。建議採取以下習慣: 優先使用官方文件提供的正式連結,或直接從 GitHub 的 Releases 頁面下載,避免透過搜尋引擎直接點擊下載按鈕。 檢查下載檔案的數位簽章(Digital Signature),確認發行者身分。 在分析可疑工具前,先在隔離的虛擬機(VM)中執行,並觀察網路連線行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。