文章总结: Huntress研究发现新型恶意垃圾邮件活动利用谷歌DoubleClick广告跟踪基础设施绕过企业邮件安全网关,通过高度个性化动态诱饵启动五阶段感染链,部署.NET加载器以修补AMSI、禁用ETW遥测和MicrosoftDefender实时保护,最终通过进程空洞化注入合法进程,并使用AES加密消息通过原始TCP协议与基于DDNS的C2服务器通信。 综合评分: 88 文章分类: 恶意软件,威胁情报,漏洞分析
恶意垃圾邮件活动利用 DoubleClick 部署隐蔽的 .NET 加载器
原创
ZM ZM
暗镜
2026年6月8日 07:00 北京
在小说阅读器读本章
去阅读
一种复杂的新型恶意垃圾邮件活动正在积极利用谷歌的 DoubleClick 广告跟踪基础设施来绕过企业电子邮件安全网关。
该攻击由 Huntress 的研究人员发现,它利用高度个性化的动态诱饵来启动复杂的五阶段感染链,在部署流程空心有效载荷之前主动拆除本地防御。
攻击链始于一个恶意 HTML 附件,通常名为 Bestellung_2026.html (德语意为“订单”)。打开该文件会触发零秒的元刷新重定向,跳转到一个合法的 ad.doubleclick[.]net URL。
Huntress表示,由于DoubleClick是谷歌旗下信誉良好的域名,大多数安全电子邮件网关(SEG)和URL信誉过滤器都会允许流量通过,而无需进一步检查。
一旦用户被重定向,该广告系列就会利用即时个性化功能,构建一个极具说服力的动态诱饵。
该页面从 URL 片段中提取目标用户的电子邮件地址,并通过 Clearbit、logo.dev 和 Google Favicons 实时获取公司徽标,从而重建雇主品牌标识。由于没有硬编码任何特定于组织的数据,因此该基础架构具有高度可扩展性和低运营成本。
为了进一步营造虚假的合法性,该页面会 ipapi[.]co 显示受害者的当地时间和城市。如果未检测到任何电子邮件片段,该页面会静默重定向到必应搜索,从而有效地干扰自动分析引擎。
点击诱饵的“下载 PDF”按钮会下载一个包含高度混淆的 JScript 文件的 ZIP 压缩包。感染过程随后会经历五个不同的阶段:HTML 诱饵、JScript 投放器、PowerShell 暂存器、.NET 加载器和进程空洞化的有效载荷。
执行时,JScript 会跳转到指定位置 C:\Users\Public\,修复一个 base64 编码的数据块,并释放一个编码后的 PowerShell 脚本。该脚本起到防御性触发机制的作用。
它会对 Google 服务器进行连接性检查,并主动搜索 Wireshark、any.run 或 OllyDbg 等沙箱工具。如果检测到分析环境,脚本会执行 Restart-Computer -Force 强制重启主机的操作,从而干扰故障排查。
该攻击活动中最具技术挑战性的组件是一个从攻击者控制的服务器上获取的.NET加载器。一旦环境被判定为安全,该加载器就会系统性地拆除本地安全控制措施。
它在原生 API 级别修补了反恶意软件扫描接口 (AMSI),针对 Windows 11 24H2 版本,并通过修补 来 NtManageHotPatch 静默 Windows 事件跟踪 (ETW) 遥测 。EtwEventWrite``ntdll.dll
该加载程序还会禁用Microsoft Defender 的实时保护RunOnce,并通过 伪装成 NVIDIA 主题名称的注册表项 建立持久性 ,并利用标准的 RunPE 进程空心化将最终有效载荷注入到合法的、Microsoft 签名的进程(例如InstallUtil.exe 或 )中MSBuild.exe。
Huntress 研究人员指出,该恶意软件使用 AES 加密消息,通过原始 TCP 协议(端口 7211)与基于 DDNS 的服务器进行命令与控制 (C2) 通信。在初始信标期间,该恶意软件会通过 WMI 专门枚举已连接的 NVIDIA 和 AMD GPU。
IOC
| 指标 | 类型 | 描述 |
| — | — | — |
| xtadts.ddns[.]net / afxwd.ddns[.]net – 港口 7211 | C2 域 | 主动加载 C2 服务器;基于 DDNS 的防火墙和 DNS 层快速 IP 轮换阻止。 |
| pengajian.muliastudy[.]com/images/edu/u.php | URL | 直接有效载荷交付端点,用于提供恶意 ZIP 归档高置信度块 |
| catalogo.castrouria[.]com | 领域 | 服务 bl.txt (打包加载器注入到 InstallUtil.exe / MSBuild.exe 中) |
| %USERPROFILE%\AppData\LocalLow\LocalLow Windows\Program Rules\Program Rules NVIDEO\ | 文件路径 | NVIDIA 主题暂存目录可靠的基于主机的搜寻工具 |
| D5B7247C...64759B5 (+ 4 个同级哈希) | SHA-256 | 硬编码的 C2 TLS 证书在网络层标记加载器流量的指纹 |
| Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64...) | 用户代理 | 在任何现代环境中,使用硬编码的 IE8 UA 进行有效载荷检索都是不正常的,这是一条简单的 SIEM 规则。 |
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《恶意垃圾邮件活动利用 DoubleClick 部署隐蔽的 .NET 加载器》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论