在跨入2023年不久之后，加密貨幣愛好者Alex收到了一份“刻骨銘心”的新年禮物，只是因為點擊了Google 搜索結果中的一個廣告，下載OBS視頻錄制和直播軟件，并啟動了虛假可執(zhí)行文件。

幾個小時之后，他的Twitter 賬戶就被黑了，隨后加密貨幣錢包也被黑客洗劫。同時被洗劫的還有他的OpenSea NFT 市場賬戶，但噩耗還在繼續(xù)，他的Substack、Gmail、Discord賬號，以及其他加密貨幣錢包也遭遇了同樣的命運，被黑客拿下了。

谷歌搜索惡意OBS Studio廣告下載

從他點擊廣告到Twitter 賬戶等一系列事件的發(fā)生，不過短短幾個小時，然而他的財富也成了黑客的提款機，大量的虛擬資金化為烏有。Alex在互聯(lián)網社交平臺上發(fā)布了他的辛酸歷程，卻意外地引起了很多人的共鳴，他們也曾遭遇類似的經歷。

某知名網絡安全專家表示，黑客通過Google廣告來分發(fā)惡意軟件不是一個新型策略，相反已經被使用了很多次，這類惡意軟件大多都是信息竊取型，用戶一旦運行，重要的個人信息（包括賬戶、密碼等）就會被黑客獲取，從而導致賬號被黑，虛擬資金被竊取。

雖然Google屢屢取締這類非法廣告，但是依舊無法改變，黑客通過Google 搜索結果中的廣告來傳播惡意軟件。

黑客通過建立虛假的網站來發(fā)布廣告，引導用戶點擊下載惡意軟件，對于類似這樣的操作，Google似乎很難完全根除，“通過廣告?zhèn)鞑阂廛浖钡氖录覍野l(fā)生，并導致越來越多的用戶受騙。

加密影響者 NFT God 的在線賬戶被黑

谷歌搜索中包含大量惡意廣告

安全研究人員發(fā)現(xiàn)，攻擊者一直在冒充軟件在Google Ads搜索結果中推送惡意下載，他們還發(fā)現(xiàn)了許多類似的案例，例如Rufus就是其中之一。Rufus 是一種用于創(chuàng)建可啟動 USB 閃存驅動器的免費實用程序。

攻擊者注冊了和官方域名極度相似的域名，并將合法站點的主要部分復制到下載部分。在一個案例中，他們使用了通用頂級域“pro”，可能是為了激起受害者的興趣，并承諾提供更廣泛的程序功能。

惡意 Rufus 下載通過谷歌搜索結果中的廣告推送

需要注意的是，Rufus 沒有高級變體。只有一個版本可作為托管在 GitHub 上的可安裝或便攜式變體。對于惡意版本，下載會轉到文件傳輸服務。因為它是一個存檔炸彈，所以許多防病毒引擎不會將其檢測為威脅。

此外，安全研究人員還發(fā)現(xiàn)，攻擊者常常使用受歡迎的軟件下載來誘導用戶，包括文件壓縮實用程序7-ZIP和WinRAR，以及廣泛使用的媒體播放器 VLC。

在 Google 搜索的贊助廣告中惡意下載 WinRAR、7-ZIP、VLC

來自不同域的攻擊者提供了 CCleaner 實用程序的惡意版本，用于刪除可能不需要的文件和無效的 Windows 注冊表項。

黑客似乎努力以高于合法開發(fā)者的價格出價，從而將他們的廣告置于首位。如下圖所示，CCleaner 官方網站顯示在惡意廣告下方。該站點提供了一個 CCleaner.zip 文件，其中安裝了 Redline信息竊取惡意軟件。

通過Google廣告推送的 CCleaner 惡意下載

幾位安全研究人員（mdmck10、MalwareHunterTeam、Will Dormann、Germán Fernández）發(fā)現(xiàn)了其他 URL 托管假冒免費和開源軟件的惡意下載，證實通過 Google 搜索的贊助結果引誘用戶是網絡犯罪分子更常用的方法。

網絡安全公司 CronUp 的 Germán Fernández 提供了 一份包含 70 個域的列表，這些域 通過 Google Ads 搜索結果冒充合法軟件來傳播惡意軟件。

這些網站是官方網站的復制品，要么提供假冒軟件，要么重定向到另一個下載位置。其中許多提供 Audacity，還有一些用于 VLC 和圖像編輯器 GIMP。

值得一提的是，安全研究人員發(fā)現(xiàn)了多款信息竊取惡意軟件，例如一款名為Vidar的惡意軟件，專注于從瀏覽器收集敏感信息，可從從瀏覽器（憑據(jù)、信用卡、自動完成信息）、系統(tǒng)詳細信息（用戶名、位置、硬件、可用的安全軟件）和加密貨幣收集敏感數(shù)據(jù)。

Google惡意廣告攔截器還需加強

安全研究人員表示，Google的安全審查功能還需要進一步加強，事實上谷歌確實一直在努力減少假冒偽劣品牌廣告的出現(xiàn)。它會檢查所報告的其他廣告和網站是否違反了他們的政策，并將在必要時采取適當?shù)男袆印?/p>

但似乎無法阻止惡意軟件在Google廣告中的泛濫。在2022年圣誕節(jié)前，美國聯(lián)邦調查局 (FBI) 在警報中標記了大量使用廣告作為傳播渠道的惡意軟件。

FBI機構警告稱，“這些廣告出現(xiàn)在搜索結果的最頂部，廣告與實際搜索結果之間的區(qū)別最小”，并且它們鏈接到一個“看起來與被冒充企業(yè)的官方網頁相同”的網站。因此，網絡犯罪分子更有可能將他們的惡意軟件傳播給更多毫無戒心的用戶。

對于企業(yè)和用戶來說，如果條件允許盡量檢查下載源的 URL ，并輔助上線廣告攔截器，可以最大化避免遭遇這類惡意軟件。目前，廣告攔截器在大多數(shù)網絡瀏覽器中都可以作為擴展程序使用，正如其名稱所示，它們可以阻止廣告在網頁上加載和顯示搜索結果。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-turn-to-google-search-ads-to-push-info-stealing-malware/