网络犯罪者利用广告引诱用户下载恶意软件

关键要点

网络犯罪者通过付费广告诱导用户访问恶意网站，并下载伪装成合法软件的恶意软件，采用了一种新变体的搜索引擎优化SEO毒化方法。除了利用SEO毒化，攻击者还通过购买付费广告来确保其恶意网站能显著出现在搜索结果中，这种攻击手法被称为“恶意广告”malvertising。近年来，恶意广告活动显著增加，尤其针对寻找流行软件的用户，最近甚至扩展到AI相关工具如Midjourney和ChatGPT。

网络犯罪者利用付费广告吸引用户访问恶意网站并下载恶意软件，这是SEO搜索引擎优化毒化的一种变体。SEO毒化意味着攻击者操控搜索引擎，将某些关键词放入他们控制的网站上无论是自己的网站还是被攻陷的网站，希望能够提高搜索结果的排名。当用户搜索相关术语并点击进入恶意网站后，攻击者通过查看Referer头部来验证用户是否来自搜索引擎，随后引诱用户下载伪装成合法软件应用的恶意软件。这个手法已经被多种威胁行为者采用，包括Gootloader关于该过程的详细描述可以在这篇Naked Security的文章中找到。

海外加速器手机版

尽管SEO毒化依然是一种威胁，但攻击者还有其他手段。在试图让他们的恶意网站在搜索结果中靠前的同时，他们还可以购买付费广告，以确保自己的网站显著出现在搜索结果中。这种攻击，即“恶意广告”，通常针对那些寻找热门软件应用的用户。过去的恶意广告活动，根据@vxunderground的报道，针对搜索Capcut、Blender 3D、VirtualBox、OBS、VLC、Notepad、WinRAR和CCleaner等软件副本的用户。此外，还有些活动伪装成Adobe、Gimp、Slack、Tor和Thunderbird等品牌，以感染用户，传播包括AuroraStealer、RedLine和Vidar等在内的恶意软件，如同Ars Technica所报道。然而，我们观察到近期有新的活动，针对搜索AI相关工具的用户，如Midjourney和ChatGPT。

事件增加

恶意广告并不是什么新鲜事，但威胁行为者在今年初显著加大了对此的使用。例如，2023年1月，Tech Monitor报告称，用户在搜索OBS一个屏幕录制和直播应用时，发现搜索结果顶部有多达五个恶意链接，这些链接一旦点击便会下载Rhadamanthys信息窃取程序。Spamhaus和Guardio Labs也报告了这种增长。

在2023年1月，我们在自身的遥测中观察到了多起信息窃取事件，注意到许多文件名涉及诸如VLC和Rufus等流行的合法软件。我们还观察到IcedID攻击案例的增加。深入调查后，我们发现许多攻击源自通过Google Ads向用户展示的恶意广告。

至于造成恶意广告上升的原因，目前尚不清楚。这可能是由于微软默认阻止来自不可信区域的文档中的宏功能，从而阻碍了攻击者长期以来采用的感染渠道。[我们之前对此报道过](https//newssophoscom/enus/202