网络安全研究人员近日披露一起利用搜索引擎优化（SEO）投毒技术传播名为Oyster（又称Broomstick或CleanUpLoader）的已知木马加载器的恶意活动。据Arctic Wolf公司分析，该恶意广告活动通过伪造PuTTY和WinSCP等合法工具的带毒版本网站，诱骗搜索这些程序的软件专业人员下载安装。

"程序执行后会安装名为Oyster/Broomstick的后门，"该公司在上周发布的简报中指出，"攻击者通过创建每三分钟运行一次的定时任务实现持久化，利用rundll32.exe通过DllRegisterServer导出函数执行恶意DLL文件（twain_96.dll），这表明攻击者将DLL注册作为持久化机制的一部分。"

目前已发现的伪造网站包括：

研究人员怀疑幕后黑手可能还针对其他IT工具传播该恶意软件，因此强烈建议用户务必通过可信来源和官方供应商网站下载所需软件。

此次披露正值黑客利用黑帽SEO技术操纵人工智能（AI）相关关键词搜索结果，传播Vidar、Lumma和Legion Loader等恶意软件之际。这些网站植入了JavaScript代码，可检测用户是否启用广告拦截器并收集浏览器信息，随后通过重定向链将受害者引导至托管ZIP压缩包的钓鱼页面。

"该活动的最终下载页面会提供受密码保护的ZIP压缩包，内含Vidar Stealer和Lumma Stealer窃密程序，密码显示在下载页面上，"Zscaler ThreatLabz表示，"解压后会出现800MB的NSIS安装程序，这种异常大的文件尺寸旨在伪装成合法文件，规避存在文件大小限制的检测系统。"NSIS安装程序随后会执行AutoIt脚本，最终释放窃密程序负载。而Legion Loader则通过MSI安装程序配合批处理脚本部署恶意软件。

卡巴斯基数据显示，中小企业（SMB）正日益成为伪装成OpenAI ChatGPT、、Cisco AnyConnect等流行AI和协作工具的恶意软件攻击目标。"仅2025年1月至4月期间，就有约8500名中小企业用户遭遇此类攻击，"这家俄罗斯网络安全公司称。其中Zoom相关恶意文件占比达41%，Outlook和PowerPoint各占16%，Excel占12%，Word占9%，Teams占5%。模仿ChatGPT的恶意文件数量在前四个月增长115%至177个。

攻击者还劫持苹果、美国银行、微软等知名品牌的客服页面搜索，通过谷歌赞助结果展示真实网站——但替换了客服电话号码。"访问者会被引导至品牌官网的帮助/支持版块，但显示的却是诈骗号码而非真实号码，"Malwarebytes解释道。这种搜索参数注入技术使攻击者能在搜索栏显示其控制的号码，诱骗用户拨打。

威胁行为者还在Facebook投放虚假广告窃取加密货币钱包助记词，并借Pi Network社区的年度活动Pi2Day传播恶意软件。该恶意软件伪装成Pi Network桌面应用更新程序，可窃取凭证、钱包密钥，记录用户输入并下载额外负载。罗马尼亚安全公司Bitdefender认为这可能是同一团伙所为，"在Meta平台并行实施欺诈以扩大覆盖面和收益"。

此外，安全研究人员g0njxa发现假冒AI、VPN服务的网站会向macOS系统投放Poseidon Stealer，并通过名为PayDay Loader的加载器在Windows设备传播Lumma Stealer。该活动被命名为"Dark Partners"。PayDay Loader利用Google Calendar链接作为死投解析器获取C2服务器地址，加载经混淆的JavaScript代码实施窃密。

与此同时，诈骗者建立包含数千个网站的庞大网络冒充知名品牌，通过虚假广告实施金融欺诈。Silent Push发现的"GhostVendors"网络购买Facebook广告位推广4000多个可疑网站。这些恶意广告通常仅运行数天便停止，从Meta广告库中彻底消失。研究人员指出："这证实了Meta仅保留社会议题、选举和政治类广告的已知政策，威胁分子可能正利用这点快速轮换广告。"

该公司发现的另一个针对英语和西班牙语用户的虚假商城网络，被评估为中国黑客组织所为。这些网站主要在支付页面窃取信用卡信息，部分还集成Google Pay支付组件以增强可信度。"该虚假商城活动主要利用知名品牌、组织和政治人物声望实施钓鱼攻击，"Silent Push表示。