网络安全研究人员近日披露，攻击者正通过分发伪造的数字营销工具（分别仿冒热门广告优化平台 Madgicx 的 “Madgicx Plus” 插件，以及社交媒体数据分析工具 SocialMetrics 的破解版），向全球数字营销人员传播恶意软件。此类攻击利用营销从业者对 “免费高级工具” 的需求，通过钓鱼链接、地下论坛及社交媒体群组扩散，已导致至少 500 名用户设备被入侵，大量广告账户凭证、客户数据及营销方案被盗。 据趋势科技（Trend Micro）发布的威胁报告显示，伪造工具的传播路径主要分为两类：一是在 Facebook、LinkedIn 的营销交流群组中发布 “Madgicx Plus 永久免费版”“SocialMetrics 解锁全部功能” 等诱饵链接，引导用户下载压缩包；二是向营销人员邮箱发送 “账户升级通知”，伪装成 Madgicx 或 SocialMetrics 官方邮件，附件包含名为 “工具更新包.exe” 的恶意文件。 这些伪造工具在外观上与正版高度相似 —— 例如伪造的 Madgicx Plus 插件会模拟正版的广告投放数据分析界面，甚至能显示虚假的 “ROI（投资回报率）优化建议”，但后台会秘密执行恶意代码：

• 针对 Windows 用户，恶意代码会释放 “FormBook” 信息窃取木马，提取浏览器中保存的广告平台（如 Google Ads、Facebook Ads）登录凭证、Cookie，以及本地存储的客户资料表格；
• 针对 macOS 用户，则会植入 “Atomic Stealer”（原子窃取器）的变种，重点窃取 Apple Keychain 中的账户密码与加密货币钱包信息；
• 所有被入侵设备还会被添加到僵尸网络中，用于后续发起针对广告平台 API 的 DDoS（分布式拒绝服务）攻击，或批量注册虚假营销账户。

伪造工具的技术伪装与检测难点

攻击者为规避安全软件检测，采用了多重伪装手段：

1. 代码混淆与加壳：恶意文件使用 “UPX 加壳” 结合自定义 XOR 加密，静态分析时仅显示 “工具配置模块” 的正常代码，运行后才解密并加载窃取模块；
2. 进程伪装：恶意进程会伪装成 “Chrome Helper”“Adobe Update Service” 等常见合法进程，且仅在用户打开营销工具界面时才活跃，关闭工具后自动休眠；
3. 规避沙箱检测：通过检查设备是否存在 “营销相关文件”（如 Google Ads 报表、Facebook 广告素材）判断是否为真实用户设备，若检测到沙箱环境则终止执行，降低被安全厂商发现的概率。

研究人员还发现，伪造工具的 C2（命令与控制）服务器伪装成 “营销数据统计平台”，采用 HTTPS 协议传输窃取的数据，且每 24 小时更换一次 IP 地址，进一步增加了溯源与拦截难度。从已捕获的 C2 通信数据来看，攻击者主要来自东欧地区，且已将窃取的 1.2 万组广告账户凭证在地下论坛以 “每组 5-20 美元” 的价格出售。

安全防护建议

针对此类威胁，安全机构与受害企业联合提出以下防护措施：

• 仅从官方渠道获取工具：Madgicx 与 SocialMetrics 官方已发布声明，强调 “从未推出免费破解版”“不会通过邮件发送.exe 格式的更新包”，建议用户通过官网或正规应用商店下载工具，核对下载链接的域名（如 Madgicx 官网域名为 “madgicx.com”，警惕 “madgicx-plus.xyz” 等仿冒域名）；
• 启用多因素认证（MFA）：为所有广告平台、客户管理系统账户启用 MFA（如 Google Authenticator、硬件令牌），即使凭证被盗，攻击者也难以登录账户；
• 定期扫描设备与数据备份：使用 EDR（终端检测与响应）工具定期扫描设备，排查 “FormBook”“Atomic Stealer” 等恶意软件；重要客户数据与营销方案需加密备份，避免因设备被入侵导致数据永久丢失；
• 警惕 “免费工具” 诱饵：数字营销领域的高级工具通常需付费订阅，对 “永久免费”“解锁全部功能” 等宣传保持警惕，避免从非官方论坛、陌生链接下载软件。

目前，Madgicx 与 SocialMetrics 已联合安全厂商推出 “工具真伪验证工具”（可在官网下载），用户输入工具安装包的哈希值即可查询是否为正版；同时，Google、Meta 等广告平台也已加强账户异常登录检测，对 “异地登录”“批量操作广告计划” 等行为触发二次验证，以降低账户被盗后的损失。