进入2023年不久,加密货币爱好者亚历克斯就收到了一份“难以忘怀”的新年礼物,仅仅因为他点击了谷歌搜索结果中的广告,下载了OBS视频录制并直播流媒体软件并启动了伪造的可执行文件。几个小时后,他的推特账户被黑,他的加密货币钱包随后被黑客洗劫一空。与此同时,他的OpenSeaNFT市场账户也被洗劫一空,但噩耗不断。他的Substack、Gmail、Discord账户和其他加密货币钱包也遭遇了同样的命运,被黑客攻陷。谷歌搜索恶意OBSStudio广告下载,发生了从他点击广告到他的推特账号的一系列事件。然而短短几个小时,他的财富也成了黑客的提款机,大量虚拟资金化为乌有。亚历克斯将自己的惨痛经历发布在网络社交平台上,没想到却引起了很多同样遭遇过类似经历的人的共鸣。一位知名网络安全专家表示,通过谷歌广告传播恶意软件并不是黑客的新策略。相反,它已经被使用了很多次。大多数这些恶意软件都是信息窃取类型。、密码等)会被黑客获取,导致账号被盗,虚拟资金被盗。虽然谷歌一再禁止此类违法广告,但依然无法改变。黑客通过谷歌搜索结果中的广告传播恶意软件。黑客通过设置虚假网站发布广告,引导用户点击下载恶意软件。谷歌似乎很难彻底杜绝此类操作。“通过广告传播恶意软件”事件频频发生,导致越来越多的用户受骗。加密网红NFTGod在线账号被黑谷歌搜索包含大量恶意广告安全研究人员发现,攻击者一直冒充软件在谷歌广告搜索结果中推送恶意下载,他们也发现了很多类似的案例,比如Rufus是其中之一。Rufus是一个用于创建可启动USB闪存驱动器的免费实用程序。攻击者注册了一个与官方域非常相似的域,并将合法站点的主要部分复制到下载部分。在一个案例中,他们使用gTLD“pro”,可能是为了通过承诺更广泛的程序功能来激起受害者的兴趣。通过Google搜索结果中的广告推送恶意Rufus下载请务必注意,Rufus没有高级变体。只有一个版本可作为托管在GitHub上的可安装或可移植变体使用。对于恶意版本,下载会转到文件传输服务。因为它是一个存档炸弹,所以许多防病毒引擎不会将其检测为威胁。此外,安全研究人员发现,攻击者经常通过下载流行软件来引诱用户,包括文件压缩实用程序7-ZIP和WinRAR,以及广泛使用的媒体播放器VLC。在GoogleSearch的赞助商广告中恶意下载WinRAR、7-ZIP、VLC来自不同域的攻击者提供恶意版本的CCleaner实用程序,用于删除可能不需要的文件和无效的Windows注册表项。黑客似乎正在努力以高于合法开发者的价格出价,从而将他们的广告置于首位。如下图所示,CCleaner官方网站显示在恶意广告下方。该站点提供了一个CCleaner.zip文件,用于安装Redline信息窃取恶意软件。CCleaner通过GoogleAds恶意下载几位安全研究人员(mdmck10、MalwareHunterTeam、WillDormann、GermánFernández)发现了额外的URL托管恶意下载冒充免费和开源软件,确认用赞助的Google搜索结果引诱用户是一种网络犯罪更常见的方法对于分子。网络安全公司CronUp的GermánFernández提供了一份70个域的列表,这些域通过伪装成合法软件的GoogleAds搜索结果分发恶意软件。这些网站是官方网站的复制品,要么提供假冒软件,要么重定向到另一个下载位置。其中许多提供Audacity,还有一些提供VLC和图像编辑器GIMP。值得一提的是,安全研究人员已经发现了几种类型的信息窃取恶意软件,例如一种名为Vidar的恶意软件,它专注于从浏览器(凭证、信用卡、自动完成信息)、系统详细信息(用户名、位置、硬件、可用的安全软件)和密码来收集敏感数据。谷歌恶意广告拦截器有待加强安全研究人员表示,谷歌的安全审查功能有待进一步加强,事实上,谷歌一直在努力减少假冒伪劣品牌广告的出现。它会检查其他被举报的广告和网站是否违反了他们的政策,并会在必要时采取适当的措施。但它似乎无法阻止恶意软件在谷歌广告中的扩散。在2022年圣诞节前夕,FBI标记了针对使用广告作为分发渠道的恶意软件的警报激增。FBI机构警告说,“这些广告出现在搜索结果的最顶部,广告与实际搜索结果之间的区别很小”,并且它们链接到一个“看起来与被冒充企业的官方网页相同”的网站。因此,网络罪犯更有可能将他们的恶意软件传播给更多毫无戒心的用户。对于企业和用户,在条件允许的情况下,尽量查看下载源的URL,协助网络广告拦截器,最大程度避免遇到此类恶意软件。广告拦截器目前在大多数网络浏览器中作为扩展程序提供,顾名思义,它们可以阻止广告加载到网页上和显示搜索结果。参考来源:https://www.bleepingcomputer.com/news/security/hackers-turn-to-google-search-ads-to-push-info-stealing-malware/
