警惕！钓鱼广告盯上了 Meta Quest 的 Windows 端软件

查看引用/信息源请点击：thehackernews

用户需要谨慎对待他们在网络找到的解决方案的真实性

（映维网Nweon 2024年06月25日）如果你正在寻找Windows端的Meta Quest应用程序，或者为特定更新错误寻找解决方案时，请务必小心，因为有专家已经发现了一个恶意的欺骗版本，诱导用户下载一个名为AdsExhaust的广告软件。

网络安全公司eSentire在一份分析报告中表示：“这款广告软件能够从受感染设备窃取屏幕截图，并通过模拟按键与浏览器交互。相关功能允许它自动点击广告或将浏览器重定向到特定的URL，从而为广告软件运营商创造营收。”

最初的感染链包括使用特定技术在谷歌搜索结果页面显示虚假网站(“oculus-app[.]com”)，促使毫无防备的网站访问者下载包含Windows批处理脚本的ZIP文件(“oculus-app. exe . ZIP”)。

批处理脚本设计用于从C2服务器获取第二个批处理脚本，而服务器又包含检索另一个批处理文件的命令。它同时会在机器创建计划任务，以便在不同时间运行批处理脚本。

在这一步之后，合法的应用程序将下载到受感染的主机，同时额外的VBS文件和PowerShell脚本遭到删除，以收集IP和系统信息，捕获屏幕截图，并将数据泄露到远程服务器(“us11[.]org/in.php”)。

来自服务器的响应是基于PowerShell的AdsExhaust广告软件，它检查微软的Edge浏览器是否正在运行，并确定用户最后一次输入发生的时间。

eSentire表示：“如果Edge正在运行，而系统空闲时间超过9分钟，脚本可以注入点击，打开新标签页，并导航到脚本中嵌入的URL。然后它会在打开的页面随机上下滚动。”

这种行为可能是为了触发网页广告等元素，特别是考虑到AdsExhaust在屏幕的特定坐标内执行随机点击。

如果检测到鼠标移动或用户交互，广告软件同时能够关闭打开的浏览器，创建覆盖层以向受害者隐藏其活动，并在当前打开的Edge浏览器选项卡中搜索“赞助”一词，以便点击广告，从而增加广告收入。

另外，它配备了从远程服务器获取关键字列表的功能，并通过Start-Process PowerShell命令启动Edge浏览器会话，对关键字进行谷歌搜索。

eSentire指出：“AdsExhaust是一种广告软件威胁，它巧妙地操纵用户互动，隐藏其活动，以产生未经授权的营收。它包含多种技术，例如从C2服务器检索恶意代码、模拟击键、捕获屏幕截图以及创建覆盖层。”

这次攻击的突出之处是，攻击者同时利用YouTube视频为这个虚假网站打广告，并使用机器人发布欺诈性评论，从而在用户寻找解决Windows更新错误（错误代码0x80070643）的解决方案时实现一种可信的表象。

eSentire指出：“用户需要谨慎对待他们在网络找到的解决方案的真实性。”