恶意软件运营商越来越多地滥用 Google Ads 平台,将恶意软件传播给毫无戒心的搜索流行软件产品的用户。
这些活动中冒充的产品包括 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。
该威胁会克隆上述项目的官方网站,并在用户单击下载按钮时分发软件的木马化版本。
以这种方式传送到受害者系统的一些恶意软件包括 Raccoon Stealer 的变体、Vidar Stealer 的自定义版本和 IcedID 恶意软件加载程序。
BleepingComputer 最近报道了此类活动,帮助揭示了使用 200 多个域冒充软件项目的大规模域名仿冒活动。另一个例子是使用伪造的 MSI Afterburner 门户网站通过 RedLine 窃取程序感染用户的活动。
然而,一个遗漏的细节是用户是如何接触到这些网站的,这一信息现已为人所知。
Guardio Labs 和 Trend Micro 的两份报告解释说,这些恶意网站通过 Google 广告活动推广给更广泛的受众。
Google Ads 滥用
Google Ads 平台帮助广告商在 Google 搜索中推广页面,将它们作为广告置于结果列表的高位,通常位于项目官方网站的上方。
这意味着在没有激活广告拦截器的浏览器上寻找合法软件的用户将首先看到促销,并且很可能会点击它,因为它看起来与实际搜索结果非常相似。
如果谷歌检测到登陆网站是恶意的,活动就会被阻止,广告也会被删除,所以威胁行为者需要在这一步中使用技巧来绕过谷歌的自动检查。
根据 Guardio 和 Trend Micro 的说法,诀窍是将点击广告的受害者带到由威胁行为者创建的不相关但良性的网站,然后将他们重定向到冒充软件项目的恶意网站。

Guardio Labs 在报告中解释说:“当目标访问者访问这些‘伪装’站点时,服务器会立即将他们重定向到流氓站点,然后从那里重定向到恶意负载。 ”
“那些流氓网站实际上对访问者来说是不可见的,这些访问者没有从真正的促销流程中访问,这些网站对爬虫、机器人、偶尔的访问者,当然还有谷歌的政策执行者来说是良性的、不相关的网站” – Guardio Labs
以 ZIP 或 MSI 形式出现的有效负载是从信誉良好的文件共享和代码托管服务(例如 GitHub、Dropbox 或 Discord 的 CDN)下载的。这确保了受害者机器上运行的任何反病毒程序都不会反对下载。

Guardio Labs 表示,在他们于 11 月观察到的一次活动中,威胁行为者使用提供 Raccoon Stealer 的木马化版本的 Grammarly 引诱用户。
恶意软件与合法软件捆绑在一起。用户将获得他们下载的内容,恶意软件将静默安装。
趋势科技专注于 IcedID 活动的报告称,威胁行为者滥用 Keitaro Traffic Direction System 在重定向发生之前检测网站访问者是研究人员还是有效受害者。自 2019 年以来就出现了滥用此 TDS 的情况。