伪装广告:谷歌的 Ad-Words 被威胁分子攻击众多组织、GPU 和加密货币钱包

发布时间:2023-01-07 16:56:00 【来源:ZAKER新闻】

   1月7日讯:一项新发现的滥用谷歌广告关键字(ad-words)强大广告平台的技术正在大规模传播恶意推广搜索结果。这些搜索结果指向所谓可信的广告网站(实际上完全由威胁分子控制),它们被用来伪装,并将广告点击者重定向到恶意钓鱼页面,从而获得谷歌搜索结果的强大可信度和广告投放功能。威胁分子添加定制的恶意软件载荷后,通过 Grammarly、Malwarebytes 和 Afterburner 等广告关键字,以及 Visual Studio、Zoom、Slack 甚至 Dashlane 攻击目标组织,提高在个人电脑上成功部署恶意软件的机率。

我们将披露这种技术,展示实际的例子,并揭露名为 "Vermux" 的最大威胁团伙之一,该团伙利用大量的 " 伪装广告 "(masquerAds)网站和域名(主要来自俄罗斯),攻击美国居民的 GPU 和加密货币钱包,这些活动已经引起了美国联邦调查局(FBI)的注意。

 

图 1. 威胁分子在谷歌广告流中伪装其恶意网站的广告

 

谷歌广告的视角

谷歌广告平台信誉卓著,可能是世界上使用最多的广告平台之一,这有其充分的理由。我们都习惯不仅用它获得有效相关的广告,还通常快速导航到我们所寻找的网站。

比方说,你搜索 Grammarly,最终摆脱所有那些拼写错误。你在搜索栏中输入 "Grammarly",按回车键,然后迅速在搜索结果页面的顶部获得官方(可能是推广的)Grammarly 网站。很容易。这也是谷歌看到的——他们得到与广告登录页关联的关键字的竞价。广告客户是有效客户吗?广告网站是合法网站吗?没问题,你的广告已投放!

 

图 2. 从谷歌广告的角度来看,一起标准的推广搜索结果广告活动

 

从更广泛的角度分析这个简单的广告流,并考虑到网站主机和访客的异常行为,我们发现了许多传播恶意软件的恶意活动,目的和来源各异——完全使用谷歌广告平台进行传播。这个效果颇好的概念甚至已经引起了联邦调查局的注意。

 

图 3. 品牌、广告关键字和知名搜索引擎都落入威胁分子的手里

 

一个简单的技巧就能避开谷歌广告的注意

这个技巧很简单——创建一个良性网站,用想要的关键字进行推广,并保持它在策略执行者眼中有效且安全。不过,那些 " 伪装 " 的网站被目标访客(那些实际点击推广搜索结果的人)访问时,服务器立即将他们重定向到恶意网站,进而重定向到恶意载荷——它们通常也隐藏在信誉良好的文件共享和代码托管服务器中,比如 GitHub、Dropbox 或 discord 的 CDN 等。

 

图 4. 谷歌广告的背后到底发生了什么?

 

那些恶意网站实际上是访客看不见的,在爬虫程序、机器人程序、偶尔的访客,当然还有谷歌的策略执行者看来,真正的推广流(比如以有效的 gclid 值到达)显示为良性的无关网站。2022 年 12 月期间活跃的此类广告流的几个例子可以在这里看到——左边显示了谷歌实际上做广告的被屏蔽网站,右边显示的是广告点击者被重定向到的实际钓鱼网站:

 

图 5. 钓鱼攻击美国第一银行客户 / 利用 uTorrent、Audacity 和 Brave 等品牌传播恶意软件

 

为了深入研究这起骗局的技术细节,以下是 2022 年 11 月下旬观察到的一路针对 Grammarly 的真实样本流。推广搜索结果会将你发送到域名 grammalry [ . ] org,这是 "Christian 供暖和空调 " 广告,只向那些直接访问它的人投放。如果你点击了这个推广搜索结果,就生成一个唯一的点击 id(谷歌的 Click ID,或 gclid),由威胁分子加以检查;如果有效(而且只有效一次 !),结合其他参数,比如访客的地理位置和用户代理等,它会将你转发到域名 gramm-alry [ . ] com 下的恶意 Grammarly 钓鱼页面。

请注意,转发在服务器端完成,隐藏起来、不被谷歌以及永远不会看到 " 伪装广告 " 网站的访客看见,看见的只是实际的钓鱼页面:

 

图 6. 从搜索下载 Grammarly 到下载和安装恶意负载

 

Gramnarly 恶意软件—— Raccoon 窃取器变种

不,这不是拼写错误…… gramnarly [ . ] com 只是其中一个 Grammarly 品牌的钓鱼页面。不,他们不会等别人拼错域名。只需要竞购 Grammarly 广告关键字,并创建 " 伪装广告 " 流:

 

图 7. Grammarly 品牌的伪装广告流

 

既然这些威胁分子不需要浪费时间和精力就能覆盖到最相关的目标(谷歌为他们做到了这点),他们可以在恶意载荷上投入更多的精力。的确,在这起活动中,Grammarly 载荷并不是普通保护机制可以快速检测到的简单窃取器。我们看到的一些更值得关注的特征包括如下:

与实际软件捆绑——安装 Grammarly 品牌的恶意软件实际上会安装 Grammarly 的副本。当然,它与悄然从事所有恶意活动的另一个可执行文件捆绑在一起。

臃肿的文件——安装可执行文件(或其他变体的容器压缩包)充斥着臃肿的零文件,只是为了使文件比自动恶意软件分析系统的最大允许大小更大,通常为 500Mb 及以上。此外,把带有恶意代码片段指纹的代码降到 1% 以下是另一种减少检测的好方法。动态执行是真正发现问题的最有效方法——我们几乎看不到任何当前的保护供应商自动执行这些巨大的文件。

定期更改载荷——由于规模较小,每天可以使用细小的更改来重新创建载荷,使用窃取器或加密货币挖矿软件等恶意软件的不同恶意载荷。所以有一天你从 dropbox 文件夹下载了 Raccoon 窃取器 ,下一天它成了来自 discord CDN 服务器的可执行 MSI 文件中的 Vidar 窃取器。

即使对 Virus-Total 而言,我们提交的内容也花了好几天才得到启发式检测:

 

图 8. 从 grammartly [ . ] org 下载的 Grammartly.exe

 

当前的 Virus Total 报告在此: https://www.virustotal.com/gui/file/3baf692a1589355af206f4e3886a09fe8997f0b62c78c1403556285eaba40e94/detection

Vermux ——针对 GPU 的大规模活动

滥用这种技术进行传播的大规模活动无疑是我们称为 Vermux 的攻击 GPU 的威胁分子。Vermux 针对任何拥有或可能拥有 GPU 硬件的计算机,通过攻击受这类 PC 用户欢迎的相关品牌的软件工具或驱动程序来攻击。

列表顶部是关键字 "Afterburner",指 MSI Afterburner 显卡工具,可以在这些真正的搜索结果中看到,显示 adBuffer 域名 afterbern [ . ] live 如何出现在列表顶部:

 

图 9. 真正的搜索结果显示了推广的伪装广告网站 afterbern [ . ] live

 

Afterburner 被许多游戏玩家以及图形设计师用来控制、超频和榨取 GPU。Vermux 针对的就是这种 GPU,不过出于另一个原因:挖掘加密货币。的确,点击上图所示的推广搜索结果,最终会将你重定向到隐藏的恶意网站,它看起来与原始网站一模一样:

 

图 10. 你能看出区别吗?(右边是假的)

 

几周前,研究人员注意到 MSI Afterburner 活动的载荷,这种载荷其实很难被检测到。我们充分了解伪装广告这种难以捉摸的传播技术后,得以发现 Vermux 的全面性和多用途性——其覆盖范围远不止一个虚假的 Afterburner 安装程序这么小。

Vermux 在主要位于俄罗斯的服务器上部署了数百个域名、" 伪装广告 " 网站以及钓鱼页面,主要向美国和加拿大居民投放恶意广告。这伙威胁分子滥用大量品牌,并不断演变。

主要的攻击途径是追踪这些 GPU。以下是表明 adBuffer 流在 2022 年 11 月至 12 月期间活动的几个例子。首先是流行的 MSI Afterburner,我们已在上面看到:

 

图 11. Vermux MSI Afterburner 流

 

另一个备受 GPU 用户欢迎的知名品牌是开源 3d 编辑和渲染软件 "Blender":

 

图 12. 针对 Blender 用户的伪装广告流

 

除此之外,Vermux 还利用其他途径获取更多利润——一些针对加密货币钱包和密码,一些针对 Vermux 能获得控制的其他流行工具,还有一些直接针对交易或银行账户:

 

图 13. Vermux 操纵的伪装广告流的另外几个例子

 

Vermux 恶意软件载荷——在 GitHub 上免费投放

Vermux 的载荷主要基于用来控制的 Vidar 木马,以及针对基于 python 的 Monero 挖矿软件的一些专有编译。这些文件遵循我们之前提到的规则,这使得它们难以被发现。Vermux 不仅滥用谷歌广告的声誉和传播力量,还滥用 BitBucket、GitHub、Dropboxx 和 OneDrive 等已知文件共享服务和代码库的声誉。下面是在 GitHub 中发现的此类代码库的几个例子:

 

图 14. GitHub 上的 MyNameisVermux 公共代码库

 

上述是一个名为 sofwarefree 的代码库,用户 Dor4il135 上传了不同的 " 恶意软件化 " 安装包,面向 Slack、OBS、Blender 甚至 Norton Antivirus(18.exe)。

 

图 15. GitHub 上的 Dor4il135 公共代码库

 

最后一个是 Dor4il135 自己的代码库活跃了一个多月,现在终于被下架了。一个月的时间够长了,它投放与 Vidar 及其他恶意软件变体捆绑在一起的不同类型的软件,几乎每天都会以新版本加以更新,主要是为了改变二进制足迹以免被检测。

总结

安全说白了是信任的问题——因此,我们在网络上的日常活动不断依赖信誉良好的供应商。人无完人,可能更多的坏人利用这些安全漏洞,其手法是我们无法想象的。本文披露了这一点——强大的广告系统、全球内容交付和安全基础设施背后的那些公司与那些行踪捉摸不定的威胁分子不断较量,威胁分子设法隐蔽起来,利用值得信赖的其他品牌牟取私利。

这个 " 伪装广告 " 概念很简单,但恰恰是那些威胁分子所需要的——滥用我们有时对谷歌及推广搜索结果盲目寄予的信任。除此之外,滥用信誉良好的文件共享服务以及知名软件品牌使威胁分子甚至逃避市场上最先进的终端检测和响应(EDR)产品。我们不可避免地要采取一种更注重行为的保护措施,即使是针对像谷歌搜索这种最常见的行为。

不要被拼写错误的域名所迷惑,总是仔细检查从哪里下载文件。

张勇亲自坐镇,阿里云没有退路
星尘数据获华映资本领投 5000 万元 A 轮融资,Autolabeling 引领数据标注趋势
2022 年职场风向突变:互联岗位量减少 50.4%,人工智能成为最缺职业
车载硬件不断升级,数字化娱乐化趋势明显
未发布先火!广州车展阿尔特展台起火 官方发声
羊了个羊创始人没想到一季度挣了20万:公司仅7人参保
俞敏洪最想读的三本书:《道德经》《红楼梦》《金瓶梅》
世界最大混合式抽水蓄能项目在四川开建:最大的混蓄“充电宝”
[ 最新资讯 ]

伪装广告:谷歌的 Ad-Words 被威胁分子攻击众多组织、GPU 和加密货币钱包

1月7日讯:一项新发现的滥用谷歌广告关键字(ad-words)强大广告平台的技术正在大规模传播恶意推广搜索结果。这些搜索结果指向所谓可信的 ...

菜鸟正在变成一个装饰性的挂件

1月7日讯:临近春节,各地相继出台烟花政策,今年春运的客流量也同比提升接近一倍,人们过个好年的热情高涨。天气寒冷加上新冠的特殊情况 ...

CES 2023 新闻发布会上,新品牌的 "Afeela" 原型被推上了舞台

1月7日讯:在推出首款 Sony Electic Car Vision-S 原型三年后,索尼和开发合作伙伴本田带着重新命名但不一定更具吸引力的自动驾驶 ...

CES 2023:HL Group 带来 EV 解决方案,HL Mando 则带来自动驾驶技术

1月6日讯:HL Group 将携专注于电动车 ( EV ) 解决方案的 HL Mando 和专注于自动驾驶的 HL Klemove 参加 CES 2023(2023 ...

ChatGPT 爆火之后 开发者 OpenAI 估值飙至 300 亿美元

1月6日讯:OpenAI 的估值达到了 290 亿美元,相比 2021 年翻倍。当地时间周四,据知情人士透露,爆红聊天机器人模型 ChatGPT 背 ...

华为终端商用以“硬实力”赋能,助推企业加速数字化进程

1月6日讯:今年年初,国务院发布的《" 十四五 " 数字经济发展规划》中提出,预计到 2025 年,数字经济核心产业增加值占国内生产总值比 ...