駭客利用 Google 廣告網域掩護惡意軟體，五階段記憶體攻擊手法曝光

濫用受信任的廣告基礎設施

資安研究機構 Huntress 近期揭露一項精密惡意軟體攻擊行動，駭客巧妙地利用 Google 的廣告基礎設施作為掩護，隱藏其惡意活動。該攻擊鏈的初期導向過程，會經過 Google 旗下的廣告與追蹤網域 ad.doubleclick.net。由於該網域被全球多數郵件閘道與網頁過濾系統視為安全且受信任的來源，使得駭客能輕易繞過傳統資安防禦機制。

攻擊流程始於含有 HTML 附件的垃圾郵件，該附件本身不含惡意內容，僅作為導向工具，將受害者引導至駭客控制的基礎設施。一旦使用者下載檔案，系統便會根據受害者的電子郵件地址，自動抓取相關的企業 Logo、地理位置及當地時間資訊，動態重建出極具說服力的偽造網頁，藉此提升社交工程的成功率。

記憶體內執行與深度隱匿技術

Huntress 指出，此惡意軟體採用了極為隱蔽的五階段攻擊鏈，包含 HTML 重新導向、JScript 載入器、PowerShell 指令碼、.NET 元件以及後續的酬載部署。為了降低被發現的風險，該軟體幾乎完全在記憶體中運作，避免在硬碟中留下傳統檔案。

該惡意軟體會檢查是否存在除錯環境、沙盒系統或鑑識分析工具；若偵測到這些防禦機制，它會立即終止執行，甚至強制受害系統重新開機。

為了進一步隱匿行蹤，該軟體會直接修改 Windows 的原生 API，干擾 AMSI（反惡意軟體掃描介面）與 ETW（Windows 事件追蹤）遙測系統。隨後，它會將惡意程式碼注入至微軟簽署的合法公用程式中，例如 InstallUtil.exe 與 MSBuild.exe，讓惡意行為隱身於企業資安系統認定的合法程序內。

長期監控與硬體資訊竊取

除了隱匿手段，該軟體還會收集受害系統的詳細硬體資訊，包括處理器識別碼、主機板型號、防毒軟體資訊，以及 Nvidia 與 AMD 的顯示卡規格。駭客還建立了基於動態 DNS 與非標準網路埠的通訊基礎設施，能夠在防禦措施介入後迅速變更位址。

儘管目前尚未確認該攻擊行動的最終目標，但從其具備的持久性機制（即在系統重啟後自動重新啟動惡意程序）來看，該行動顯然是為了進行長期的遠端入侵活動而設計。