安全机构Check Point Research(CPR)近日披露了一场大规模恶意广告活动,攻击者创建了超过100个仿冒网站,专门冒充Ghidra(NSA逆向工程工具)、dnSpy(.NET调试与反编译工具)和SpiderFoot(开源情报收集工具)等知名安全工具。这些网站通过流量分发系统(Traffic Distribution System, TDS)将访问者重定向,在获取广告收入的同时,还向开发者与安全研究人员分发多种恶意软件,包括SessionGate、RemusStealer和AnimateClipper等变种。
CPR在报告中强调,该活动选择仿冒的品牌极具针对性——Ghidra和dnSpy被安全分析师和恶意软件分析人员广泛使用,攻击者正是利用行业对这些工具的信任来吸引目标流量。整个基础设施由超过100个域名构成,且已在VirusTotal上累积了超过5000次提交记录,规模不容小觑。
多多金蛋
