在跨入2023年不久之后,加密货币爱好者Alex收到了一份“刻骨铭心”的新年礼物,只是因为点击了Google 搜索结果中的一个广告,下载OBS视频录制和直播软件,并启动了虚假可执行文件。
几个小时之后,他的Twitter 账户就被黑了,随后加密货币钱包也被黑客洗劫。同时被洗劫的还有他的OpenSea NFT 市场账户,但噩耗还在继续,他的Substack、Gmail、Discord账号,以及其他加密货币钱包也遭遇了同样的命运,被黑客拿下了。
【谷歌搜索恶意OBS Studio广告下载】
从他点击广告到Twitter 账户等一系列事件的发生,不过短短几个小时,然而他的财富也成了黑客的提款机,大量的虚拟资金化为乌有。Alex在互联网社交平台上发布了他的辛酸历程,却意外地引起了很多人的共鸣,他们也曾遭遇类似的经历。
某知名网络安全专家表示,黑客通过Google广告来分发恶意软件不是一个新型策略,相反已经被使用了很多次,这类恶意软件大多都是信息窃取型,用户一旦运行,重要的个人信息(包括账户、密码等)就会被黑客获取,从而导致账号被黑,虚拟资金被窃取。
虽然Google屡屡取缔这类非法广告,但是依旧无法改变,黑客通过Google 搜索结果中的广告来传播恶意软件。
黑客通过建立虚假的网站来发布广告,引导用户点击下载恶意软件,对于类似这样的操作,Google似乎很难完全根除,“通过广告传播恶意软件”的事件屡屡发生,并导致越来越的用户受骗。
【加密影响者 NFT God 的在线账户被黑】
攻击者注册了和官方域名极度相似的域名,并将合法站点的主要部分复制到下载部分。在一个案例中,他们使用了通用顶级域“pro”,可能是为了激起受害者的兴趣,并承诺提供更广泛的程序功能。
【恶意 Rufus 下载通过谷歌搜索结果中的广告推送】
需要注意的是,Rufus 没有高级变体。只有一个版本可作为托管在 GitHub 上的可安装或便携式变体。对于恶意版本,下载会转到文件传输服务。因为它是一个存档炸弹,所以许多防病毒引擎不会将其检测为威胁。
此外,安全研究人员还发现,攻击者常常使用受欢迎的软件下载来诱导用户,包括文件压缩实用程序7-ZIP和WinRAR,以及广泛使用的媒体播放器 VLC。
【在 Google 搜索的赞助广告中恶意下载 WinRAR、7-ZIP、VLC】
来自不同域的攻击者提供了 CCleaner 实用程序的恶意版本,用于删除可能不需要的文件和无效的 Windows 注册表项。
黑客似乎努力以高于合法开发者的价格出价,从而将他们的广告置于首位。如下图所示,CCleaner 官方网站显示在恶意广告下方。该站点提供了一个 CCleaner.zip 文件,其中安装了 Redline信息窃取恶意软件。
【通过Google广告推送的 CCleaner 恶意下载】
几位安全研究人员(mdmck10、MalwareHunterTeam、Will Dormann、Germán Fernández)发现了其他 URL 托管假冒免费和开源软件的恶意下载,证实通过 Google 搜索的赞助结果引诱用户是网络犯罪分子更常用的方法。
网络安全公司 CronUp 的 Germán Fernández 提供了 一份包含 70 个域的列表,这些域 通过 Google Ads 搜索结果冒充合法软件来传播恶意软件。
这些网站是官方网站的复制品,要么提供假冒软件,要么重定向到另一个下载位置。其中许多提供 Audacity,还有一些用于 VLC 和图像编辑器 GIMP。
值得一提的是,安全研究人员发现了多款信息窃取恶意软件,例如一款名为Vidar的恶意软件,专注于从浏览器收集敏感信息,可从从浏览器(凭据、信用卡、自动完成信息)、系统详细信息(用户名、位置、硬件、可用的安全软件)和加密货币收集敏感数据。
但似乎无法阻止恶意软件在Google广告中的泛滥。在2022年圣诞节前,美国联邦调查局 (FBI) 在警报中标记了大量使用广告作为传播渠道的恶意软件。
FBI机构警告称,“这些广告出现在搜索结果的最顶部,广告与实际搜索结果之间的区别最小”,并且它们链接到一个“看起来与被冒充企业的官方网页相同”的网站。因此,网络犯罪分子更有可能将他们的恶意软件传播给更多毫无戒心的用户。
对于企业和用户来说,如果条件允许尽量检查下载源的 URL ,并辅助上线广告拦截器,可以最大化避免遭遇这类恶意软件。目前,广告拦截器在大多数网络浏览器中都可以作为扩展程序使用,正如其名称所示,它们可以阻止广告在网页上加载和显示搜索结果。
参考来源:
https://www.bleepingcomputer.com/news/security/hackers-turn-to-google-search-ads-to-push-info-stealing-malware/
精彩推荐