資安研究人員揭露一波大規模SEO毒化攻擊行動，駭客透過假冒AI及熱門工具的網站，誘騙使用者下載惡意軟體，已波及全球逾8,500名中小企業用戶。攻擊者鎖定常見搜尋關鍵字，藉此散布如Oyster、Vidar、Lumma等多種資訊竊取與載入型惡意程式。此攻擊行動運用搜尋引擎最佳化（SEO）毒化技術，讓偽造網站在搜尋結果中排名靠前，引導使用者誤點下載被植入惡意程式的假AI工具或知名應用程式，如PuTTY、WinSCP、Zoom、Teams等。

這些惡意軟體使用NSIS安裝器偽裝成800MB大檔案以逃避偵測，並利用JavaScript判斷是否啟用廣告攔截器，導向釣魚頁面進行ZIP壓縮檔下載。另有PayDay Loader惡意模組透過Google Calendar連結作為命令伺服器跳板，並用Node.js模組偷取加密貨幣錢包資訊。該攻擊亦關聯一個惡意npm套件「os-info-checker-es6」，顯示駭客正在嘗試多種攻擊向量。

 

根據Kaspersky統計，2025年前四個月有超過8,500名中小企業使用者受害，其中假冒Zoom的惡意檔案佔41%。此外，也有行動假冒品牌客服頁面，透過搜尋參數注入，展示詐騙電話號碼。這些惡意行動不僅竊取個資、財務資訊，亦可能造成企業商譽損失與業務中斷。

使用者應避免點擊來路不明的搜尋連結與廣告，僅從官方網站下載應用程式。企業可導入DNS過濾、廣告攔截、終端防護與沙箱機制，並教育員工辨識釣魚手法。針對遭冒用品牌，建議定期巡查搜尋結果並啟用驗證服務，防止假冒網站影響信任度。政府與平台業者也應加強廣告審查與違規追蹤機制，降低SEO毒化攻擊擴散風險。