近年来,随着人工智能与云计算的普及,许多企业尤其是中小企业对AI相关软件和协作工具的依赖大幅增加。然而,正是这股数字化浪潮也为网络攻击者提供了绝佳的机会,他们利用SEO投毒技术,诱导用户访问伪装成合法AI工具和IT程序的恶意网站,导致大量感染事件的发生。据安全研究机构披露,一场针对8500多家中小企业用户的SEO投毒攻击正在肆虐,该攻击伪装成热门软件如PuTTY、WinSCP、ChatGPT、Zoom、Microsoft Office系列、Salesforce等,利用恶意载入器传播复杂的恶意软件家族,给企业信息安全带来了前所未有的挑战。该恶意活动的核心是一种名为Oyster(又称Broomstick或CleanUpLoader)的恶意载入器,通过优化搜索引擎中的关键词排名,攻击者成功将伪造网站推至受害者的视线之内,诱导用户下载带有木马后门的程序。一旦执行,这些程序会安装后门软件,建立起强大的持久化机制,比如通过创建每三分钟执行一次的计划任务,利用Windows的DLL注册功能持续控制感染设备。这种持久化策略不仅让恶意程序难以清除,也增强了攻击者操纵整个受害网络的能力。
更令人担忧的是,攻击者并非只针对单一软件,而是拓展至多种IT工具,并且正逐渐将攻击范围扩大到伪装成热门AI关键词相关的软件和工具,以此扩大感染面和渗透力。恶意网站通常植入复杂的JavaScript检查代码,识别用户是否使用广告拦截工具,并从浏览器窃取信息,随后通过重定向链将用户引导至钓鱼页面,强制下载加密压缩的恶意文件。这些压缩包往往伪装成大型、合法的软件安装包,大小可达数百兆,目的在于绕过主流杀软的检测限制。通过NSIS安装器以及AutoIt脚本执行盗取信息的恶意程序,如Vidar Stealer和Lumma Stealer,攻击者能够截获用户输入、窃取密码及数字货币钱包信息。与之并行的Legion Loader则借助MSI安装包和批处理脚本布署更广泛的恶意载荷。这一攻击手法与此前被发现的针对知名云服务平台的钓鱼活动类似,那些活动通过伪造Cloudflare的验证码页面,利用ClickFix策略植入RedLine Stealer恶意程序。
统计数据显示,中小企业用户成为这类攻击的主要目标,尤其是伪装成Zoom、Outlook、PowerPoint等最常见办公及沟通软件的恶意文件,以及ChatGPT的恶意变种数量激增,反映出攻击者紧跟技术热点,更新伪装策略以躲避检测的趋势。除了直接攻击软件下载环节,攻击者还采取搜索参数注入技术,在用户通过Google搜索进入品牌官方帮助中心时,篡改页面展示的联系电话,诱导用户拨打攻击者控制的诈骗电话,通过隐蔽手段极大提升欺诈成功率。这些电话篡改参数在搜索结果中并不明显,令用户很难察觉异常。此外,社交媒体平台也被利用为攻击渠道,Facebook上出现大量伪装成数字货币钱包恢复工具和Pi Network应用的恶意广告,大量用户因此中招。传递的恶意软件不仅记录键盘输入,还窃取储存的账户凭证和钱包密钥,且能动态下载更多恶意模块,持续威胁用户资产安全。来自罗马尼亚的安全研究团队指出,这些活动很可能由单一威胁团伙策划,旨在通过多平台、多渠道的并行攻击,最大化经济利益和影响力。
而通过Google日历链接隐藏通讯服务器及载荷加载机制的PayDay Loader则代表了该团伙在持久化和隐蔽性上的创新尝试。PayDay Loader利用Google Calendar事件作为“死信箱”解析命令和脚本,并通过Node.js开源库压缩和发送敏感信息给攻击者控制的服务器,实现对数字货币钱包数据的窃取。整体来看,攻击者的手法多样且复杂,他们通过建立庞大的虚假网站网络,假借知名品牌进行诈骗与信息盗窃。比如名为GhostVendors的网络,通过在Facebook上频繁投放广告,迅速上线和下线多达4000余个虚假购物网站,规避社交平台审核,同时诱骗用户输入信用卡信息。部分网站甚至集成Google Pay支付组件,加强用户对网站合法性的信任,极大增加诈骗成功风险。这场针对中小企业的SEO投毒攻击展现了网络犯罪分子灵活运用搜索引擎优化、社交媒体广告以及技术手段整合攻击的全新面貌。
对于企业而言,最有效的防御策略依然是坚持从官方和可信赖渠道下载软件,严格控制员工网络行为,加强终端安全监控,及时打补丁并确保安全软件的更新。技术团队应对来自搜索引擎的异常流量保持警惕,结合威胁情报提高识别和响应能力。同时,提升员工安全意识,防范社会工程学攻击同样至关重要。随着AI技术在企业中的广泛应用,攻击者对相关关键词的投毒活动预计将持续甚至升级。企业在享受数字化便捷的同时,必须同步构建完整的安全防护体系,结合安全运营中心(SOC)、威胁检测响应(MDR)等专业服务,才能有效应对持续演化的网络威胁环境。总之,面对日益严重的SEO投毒威胁,中小企业不能掉以轻心,必须将网络安全作为核心战略重点,不断增强技术实力和员工意识,方能在这场无声的网络战役中立于不败之地。
。
![The AMEN Combinators [pdf] (2013)](/images/62BDB442-D235-4859-9E6D-DEC1A663FCBA)
![A Note of Welcome: Pál Turán [pdf] (1977)](/images/D6EBC2D7-E1C2-4E0E-B6B3-8156662C9344)
