黑客通過 VLC、7-Zip、CCleaner 的谷歌搜索廣告推送惡意軟件

黑客正在為流行的免費和開源軟件建立虛假網站，以通過 Google 搜索結果中的廣告促進惡意下載。

加密貨幣領域至少有一位知名用戶成為該活動的受害者，聲稱它允許黑客竊取他們所有的數字加密資產以及對其專業和個人賬戶的控制權。

週末，加密貨幣影響者 Alex，以其在線角色而廣為人知 NFT God，被黑後為 Open Broadcaster Sof 啟動偽造的可執行文件tware (OBS) 視頻錄製和直播軟件，他們從搜索結果中的 Google 廣告中下載。

 

“當我點擊 EXE 時沒有任何反應，”亞歷克斯在 Twitter 帖子中寫道，講述了他們週末的經歷。然而，幾個小時後，朋友們提醒他們，他們的 Twitter 帳戶被黑了。

Alex 不知道，這可能是一種信息竊取惡意軟件，它竊取了他們保存的瀏覽器密碼、cookie、Discord 令牌s 和加密貨幣錢包，並將它們發送給遠程攻擊者。

很快，亞歷克斯發現他們在 OpenSea NFT 市場上的賬戶也遭到入侵，另一個錢包被列為他們其中一項數字資產的所有者。

“那一刻我知道一切都過去了。一切。我所有的加密貨幣和 NFT 都被剝奪了，”NFT 上帝在帖子中說.

很快，Alex發現他們的Substack、Gmail、Discord和加密貨幣錢包也遭遇同樣的命運，被黑客控制。

雖然這不是一個新策略，但威脅行為者似乎更頻繁地使用它。去年 10 月，BleepingComputer 報導了一場大規模的活動，該活動依靠 200 多個域名仿冒域名來誤導超過 20 個品牌的用戶。

當時的分發方法未知，但網絡安全公司 Trend Micro 和 Guardio 在 12 月分別發布的報告顯示，黑客正在 濫用 Google Ads 平台在搜索結果中推送惡意下載。

Google 搜索結果中的大量惡意廣告

根據 NFT 大神的帖子，BleepingComputer 進行了自己的研究，發現 OBS 是威脅行為者冒充的一長串軟件中的一個，可以在 Google Ads 搜索結果中推送惡意下載。

我們發現的一個示例是 Rufus 的 Google 廣告搜索結果，Rufus 是一種用於創建可啟動 USB 閃存驅動器的免費實用程序。

威脅行為者註冊了與官方域名相似的域名，並將合法站點的主要部分複製到下載部分。

在一個案例中，他們使用了通用頂級域“pro”，可能是為了激起受害者的興趣，並承諾提供更廣泛的程序功能。

請注意，Rufus 沒有高級變體。只有一個版本可作為可安裝或便攜式變體託管在 GitHub 上。

對於惡意版本，下載會轉到文件傳輸服務。因為它是一個存檔炸彈，許多防病毒引擎不會將其檢測為威脅。

另一個被模仿的流行程序是文本和源代碼編輯器 Notepad++。威脅行為者使用域名仿冒創建了一個類似於合法域名的域名一個來自官方開發者。

安全研究員 Will Dormann 發現，在 Google 搜索的讚助部分中，虛假的 Notepad++ 下載可以從其他 URL 獲得，所有文件都被 Virus Total 掃描平台上的各種防病毒 (AV) 引擎標記為惡意文件。

BleepingComputer 還發現一個網站充斥著僅通過 Google Ads 搜索結果分發的虛假軟件下載。該網站冒充了一家名為 Zensoft Tech 的印度合法網頁設計公司。

不幸的是，我們無法驗證下載是否是惡意的，但考慮到該域是一個錯誤搶注的 URL，該站點阻止搜索引擎將內容編入索引並僅通過搜索結果中的廣告來推廣下載，這很明顯是惡意的活動。

在軟件w中在網站上發現了文件壓縮實用程序 7-ZIP 和 WinRAR，以及廣泛使用的媒體播放器 VLC。

威脅參與者從不同的域提供了惡意版本的 CCleaner 實用程序，用於刪除可能不需要的文件和無效的 Windows 註冊表項。

看起來黑客努力以高於合法開發者的價格將他們的廣告放在首位化。如下圖所示，CCleaner 官方網站顯示在惡意廣告下方。該站點提供了一個 CCleaner.zip 文件，安裝了 Redline信息竊取惡意軟件。

通過 Google 廣告推送的 CCleaner 惡意下載
來源：BleepingComputer

幾位安全研究人員 (mdmck10，MalwareHunterTeam ，Will Dormann，Germán Fernández) 發現了其他 URL 託管假冒免費和開源軟件的惡意下載，確認通過贊助結果引誘用戶Google 搜索是網絡犯罪分子更常用的方法。

網絡安全公司 CronUp 的 Germán Fernández 提供了一個70 個域的列表通過 Google Ads 搜索結果假冒 l 傳播惡意軟件合法的軟件。

這些網站是官方網站的複製品，要么提供假冒軟件，要么重定向到另一個下載位置。其中許多提供 Audacity，還有一些用於 VLC 和圖像編輯器 GIMP。

一位用戶在尋找 Blender 3D 開源 3D 創作套件時差點上當受騙。 來自 MalwareHunterTeam 的推文顯示該產品的三個惡意廣告位於鏈接之前來自官方開發者。

查看被某些 AV 產品標記為惡意的樣本之一，安全研究員 Will Dormann 注意到它有一個 來自網絡安全公司 Bitdefender 的無效簽名。

儘管 BleepingComputer 無法在所有情況下檢查以這種方式傳送的惡意軟件，但在某些情況下，有效負載是我們在假冒的 CCleaner 網站中看到的 RedLine Stealer。

此惡意軟件從瀏覽器（憑據、信用卡、自動完成信息）、系統詳細信息（用戶名、位置、硬件、可用的安全軟件）和加密貨幣收集敏感數據。

Fernández 發現一名威脅參與者分發了 t基於 .NET 的遠程訪問木馬 SectoRAT，也稱為 Arechclient2，通過 Audacity 數字音頻編輯器的虛假下載。

研究人員還發現了 Vidar 信息竊取程序，該程序通過惡意下載在 Google 搜索中宣傳的 Blender 3D 傳播。 Vidar 專注於從瀏覽器收集敏感信息，還可以竊取加密貨幣錢包。

在發表這篇文章後，HP Wolf Security 的研究人員發布了一個報告類似的活動，並指出他們分析的第一個活動發生在 2022 年 11 月。

他們看到的一些通過虛假軟件惡意廣告傳播的惡意軟件包括 IcedID 木馬、Vidar、Rhadamanthys Stealer 和 BatLoader。

目前，BleepingComputer 和多位安全研究人員在 Google 搜索結果中發現了以下惡意廣告軟件：

• 7 -郵編
• 攪拌機 3D
• 截斷
• CCleaner
• 記事本++
• OBS
• 魯弗斯
• 虛擬框
• VLC 媒體播放器
• WinRAR
• 膩子

BleepingComputer 與穀歌分享了其中的一些發現，公司代表告訴我們該平台的政策是旨在防止假冒品牌。

在撰寫本文時，谷歌表示將檢查是否有其他廣告和網站被舉報違反了他們的政策，並會在必要時採取適當的措施。該公司已完成此過程並刪除了報告的惡意廣告。

廣告攔截器可以加強保護

在搜索結果中使用贊助廣告作為惡意軟件傳播渠道已被 FBI 標記為 提醒去年聖誕節前。 p>

該機構警告說，“這些廣告出現在搜索結果的最頂部，廣告與實際搜索結果之間的區別最小”，並且它們鏈接到一個“看起來與假冒企業的官方網頁相同”的網站。

正因為如此，網絡犯罪分子更有可能將他們的惡意軟件傳播給更多毫無戒心的用戶。

檢查下載源的 URL 總是一個好建議。再加上廣告攔截器的使用，針對此類威脅的保護級別應該會大大降低。

廣告攔截器可作為大多數網絡瀏覽器的擴展程序使用，顧名思義，它們可以阻止廣告加載並顯示在網頁上，包括搜索結果。

除了增加舒適度在互聯網的使用中，廣告攔截器還通過阻止廣告中的跟踪 cookie 收集有關您的瀏覽習慣的數據來加強隱私。

但是，在這種情況下，此類擴展可能會導致無法訪問您的敏感信息或在線帳戶和從合法供應商處獲取數字資源之間的區別。

更新 [2023 年 1 月 18 日]：文章已更新以反映 Google 審查了報告的其他惡意廣告並在發布本文後將其刪除。最初，該公司僅收到一小部分惡意廣告並將其從平台上移除。

添加了 HP Wolf Security 研究的新詳細信息，該研究發現自 2022 年 11 月以來通過虛假軟件廣告活動傳播的其他惡意軟件。