研究人员发现了一种新方法,可以利用易受攻击的网站向搜索引擎用户发送恶意的、有针对性的广告,这种方法能够传播大量恶意软件,使受害者完全不知所措。
关键是“动态搜索广告”,谷歌利用网站登陆页面的内容将目标广告与搜索配对的功能。
Malwarebytes 威胁情报高级总监 Jerome Segura 在 10 月 30 日的一篇博文中描述了攻击者如何在受感染的网站上使用虚假软件广告来利用此功能,以搜索引擎用户为目标。
值得注意的是,这一切可能都是偶然的。
该广告本身确实是偶然的,就其创建方式而言。事实上,我在谷歌搜索中看到了它,我认为威胁行为者根本没有计划它。
使用动态搜索广告进行恶意广告
我没有先看到该网站,而是先看到了广告。他正在搜索黑客常用的关键词——通常是办公应用程序、远程监控软件等的虚假广告。
在本例中,关键字是“PyCharm”,即 Python 编程的开发环境。
搜索产生了以下赞助结果:
虽然标题与他的搜索相符,但该片段似乎是从婚礼策划网站上提取的。通过谷歌的广告透明度中心,很明显该网站的其他内容都与婚礼有关,而不是 Python。
在看到的大多数恶意软件下载广告中,内容与标题相匹配。因此,威胁行为者实际上经历了以下努力:从头开始创建广告:他们使用受感染的广告商帐户,并使用匹配的 URL、匹配的描述以及所有与此不同的情况来创建广告。
所以我想:为什么有人会创建一个与描述不符的标题?
事实证明,这个被忽视的婚礼策划网站中的一些页面被注入了生成垃圾邮件的恶意软件。
该恶意软件重写了这些页面的标题,并向访问者显示恶意的 PyCharm 序列密钥弹出窗口。更糟糕的是,谷歌的动态广告功能发现了恶意内容,这就是它向 Segura 做广告的方式。
Segura 在他的博客中解释道,如果不知情的访问者点击了 PyCharm 弹出链接,他们就会遇到“大量恶意软件感染,这种情况我们只在极少数情况下见过,导致计算机完全无法使用”。
他推测攻击者可能一直试图通过尽可能多的恶意软件下载来获利,以支付网络犯罪佣金。
小型企业网站及其用户的安全
对于想要利用中小型企业网站达到自己目的的黑客来说,有无数潜在的选择正在等待着。
问题在于“通常企业主不会自己创建网站。他们聘请网络代理机构在特定时间为他们创建网站,然后网络代理机构交付产品,仅此而已。没有后续。” 企业可能会继续使用该网站,但不会在后端进行维护。
所以发生的情况是,核心 WordPress 本身已经过时了。然后任何可能使用过的插件也都过时了。过时通常不仅适用于功能,还适用于安全性“因此,这些网站对于任何人来说都是易受攻击的目标,可以抓取整个 IP 范围,然后造成大规模泄露”。
如果企业可能缺乏资源或资金来维持适当的安全性,谷歌至少可以通过标记有针对性的广告和网站内容存在显着差异的案例来帮助搜索引擎用户避免陷入陷阱。
在本例中,一个婚礼网站和一个软件的广告。我还看到过另一个非常明确的例子:对于另一个软件,广告商是一家餐厅。这应该是一个直接的标志谷歌,因为它确实与公司的业务不相符。
通过动态搜索广告进行恶意广告可带来恶意软件财富
大多数(如果不是全部)恶意广告事件都是由威胁行为者在现有广告中注入代码或故意创建广告造成的。今天,我们看到了一个不同的场景,尽管听起来很奇怪,但恶意广告完全是偶然的。
发生这种情况的原因是两个独立因素的结合:受损的网站和 Google 动态搜索广告。
网站所有者不知道的是,他们的一个广告是自动创建的,目的是宣传 Python 开发人员的流行程序,并且人们在 Google 上搜索该程序时可以看到该广告。点击广告的受害者会被带到一个被黑的网页,其中包含下载该应用程序的链接,结果却安装了十多个不同的恶意软件。
