Bleeping Computer 網(wǎng)站披露，一個新的網(wǎng)絡(luò)犯罪活動將釣魚網(wǎng)站隱藏在谷歌搜索結(jié)果中，以竊取亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）用戶的登錄憑據(jù)。

2023 年 1 月 30 日， Sentinel 實(shí)驗室的安全分析師首次發(fā)現(xiàn)釣魚活動隱藏在谷歌廣告搜索結(jié)果中。據(jù)悉，當(dāng)搜索“aws”時，不良廣告排名第二，僅次于亞馬遜自身推廣搜索結(jié)果。

惡意谷歌搜索結(jié)果（Sentinel One）

經(jīng)過研究分析，安全人員發(fā)現(xiàn)攻擊者最初將廣告直接鏈接到網(wǎng)絡(luò)釣魚頁面，后期陸續(xù)增加了重定向步驟，以期逃避谷歌廣告欺詐檢測系統(tǒng)的監(jiān)管。

完整網(wǎng)絡(luò)釣魚鏈（Sentinel One）

“惡意谷歌廣告”首先將受害者引到攻擊者控制的博客網(wǎng)站（“us1-eat-a-w.s.blogspot[.]com”：該網(wǎng)站是一個合法的素食博客），使用“window.location.replace”自動將受害者重定向到托管了虛假 AWS 登錄頁面的新網(wǎng)站。

重定向代碼（Sentinel One）

當(dāng)用戶進(jìn)行至此步驟時，釣魚網(wǎng)站系統(tǒng)會自動提示受害者是選擇使用 root 用戶還是 IAM 用戶登錄，一旦用戶輸入電子郵件地址和密碼，信息就會被盜。（提示用戶選擇登陸方式有助于攻擊者區(qū)分被盜數(shù)據(jù)的分價值和實(shí)用性）

AWS網(wǎng)絡(luò)釣魚頁面（Sentinel One）

第二個網(wǎng)絡(luò)釣魚步驟，請求用戶密碼（Sentinel One）

Sentinel 實(shí)驗室發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚域主要包括以下幾個：

• aws1-console-login[.]us
• aws2-console-login[.]xyz
• aws1-ec2-console[.]com
• aws1-us-west[.]info

分析的過程中，研究人員發(fā)現(xiàn)這些釣魚網(wǎng)頁都具備一個有趣的特點(diǎn)，其創(chuàng)作者設(shè)置了一個 JavaScript 功能，可以禁用鼠標(biāo)右鍵、鼠標(biāo)中鍵或鍵盤快捷鍵，Sentinel 實(shí)驗室指出，之所以禁用快捷鍵，可能是為了防止用戶有意或不小心離開釣魚網(wǎng)頁。

禁用鼠標(biāo)右鍵單擊（Sentinel One）

此外，Sentinel 在中報告表示，JavaScript 代碼注釋和變量中，攻擊者使用了葡萄牙語，而素食博客域名的根頁面卻模仿了一家巴西的甜點(diǎn)企業(yè)，用于注冊域名的 Whois 詳細(xì)信息指向一個巴西人。

值得一提的是，最近谷歌廣告被各種網(wǎng)絡(luò)犯罪分子大規(guī)模濫用，成為“尋找”潛在受害者的方法。 據(jù)不完全統(tǒng)計，谷歌廣告被用于釣魚密碼管理器帳戶、實(shí)現(xiàn)初始網(wǎng)絡(luò)危害以部署勒索軟件，以及偽裝合法軟件工具的惡意軟件傳播。