臉書、Google廣告淪為惡意程式溫床 駭客偽裝交易平台App竊取金融個資

記者孫敬／編譯

近期資安團隊觀察到一個令人不安的趨勢，惡意行為者正大規模利用臉書（Facebook）和Google的廣告渠道，偽裝成合法的金融服務，並透過推廣知名交易平台「一年免費」或高階付費服務等誘餌，成功引誘使用者下載被植入木馬的應用程式，此類社交工程手法運用熟悉的品牌形象與認證標章，營造高擬真騙局，輕易騙過一般使用者。

延伸閱讀：Salesforce旗下Agentforce AI平台曝資安漏洞 現已強制更新URL白名單

700MB巨型木馬與多層次技術逃逸

受害者點擊付費廣告後，會被重新導向至一個經過混淆處理的惡意登陸頁面，該頁面的設計旨在逃避自動分析和人工審核。初始感染通常始於點擊臉書廣告，承諾提供優質圖表工具的「一年免費使用權」。

當使用者進入惡意登陸頁面後，駭客利用客製化的ServiceWorker腳本，通常以AES-CBC加密，並透過StreamSaver.js載入一個惡意的安裝檔，來繞過傳統瀏覽器的下載安全機制，將檔案直接傳輸到受害者的檔案系統中。

一旦下載完成，這個有時超過700MB的巨型載入器會先執行反沙盒檢查，防止在虛擬化環境中被執行分析，只有通過這些防禦檢查後，下載器才會啟動多階段的感染程序。Bitdefender分析師觀察到，該惡意程式已放棄過去的HTTP通訊模式，轉而使用埠號30000的WebSocket通訊通道進行控制命令（C2）傳輸。

駭客還對前端的JavaScript進行了加密，並在執行時才部署反混淆程序來建構最終有效載荷。這種高度動態的方法使大多數靜態分析工具失效，大大增加了資安人員進行鑑識調查的複雜性。

修改Windows Defender確保持久化，並鎖定高價值目標

惡意程式成功執行後，會建立一個名為Edge Resources Installer V12-issg的持久性排程任務（ScheduledTask），確保系統重新啟動後仍能再次感染。該任務會透過Invoke-Expression下載並執行後續的PowerShell腳本，更危險的是，它還會修改Windows Defender的設定，將其有效載荷目錄排除在監控範圍之外。

此感染機制的關鍵，是一個複雜的下載器元件，它巧妙地利用Service Worker API與現代網路追蹤框架，將惡意操作與合法的分析行為混合在一起。透過整合PostHog進行事件追蹤，以及FacebookPixel、GoogleAds轉換追蹤和MicrosoftAdsPixel等第三方像素，前端應用程式能夠完全掌握使用者行為。

這種遙測技術使得駭客營運者能夠「看人下菜」，僅對鎖定的「高價值目標」部署惡意內容，對所有其他使用者則呈現無害的頁面。這種無縫的交付機制，結合網域輪換和針對性語言廣告，使得惡意程式得以快速傳播，同時保持極低的曝光率。

資料來源：Cyber Security News