网络安全 频道

攻击者劫持谷歌广告商账户传播恶意软件

  在一种特别肆无忌惮的战术中,多名威胁行为者假冒谷歌广告登录页面,诱骗广告商交出账户凭据。

  这些来自南美洲、亚洲和东欧等地理分布广泛的攻击者,随后利用被劫持的账户实时购买并分发通过谷歌广告传播的恶意广告和恶意软件。

  “有史以来最恶劣”的恶意广告活动

  由于他们的广告允许显示ads.google.com的网址,骗子在许多情况下似乎都成功了。据Malwarebytes的研究人员称,这使得它们与合法的谷歌广告几乎无法区分,这些研究人员最近发现了这一恶意活动。

  Malwarebytes研究员Jerome Segura本周在博客文章中写道:“这是我们追踪过的最恶劣的恶意广告活动,它直击谷歌业务的核心,可能影响了全球数千名客户。我们一直在不间断地报告新事件,但在发布本文时,仍在不断发现新事件。”

  谷歌广告是一个广告平台,允许企业和个人根据用户的搜索行为和兴趣,在谷歌的搜索结果、网站、移动应用和其他在线资源上展示定向广告。通常,搜索结果顶部的广告是赞助的,意味着有人为此支付了高额可见度费用。据背景资料显示,谷歌搜索在2023年创造了约1750亿美元的广告收入。

  据Segura称,最近出现了大量针对希望在谷歌搜索上投放广告或希望登录谷歌广告账户的企业和个人的虚假赞助谷歌广告。这些广告看似来自谷歌,声称可以帮助人们注册谷歌广告账户或登录现有账户。点击这些广告的用户会被引导至一个假冒的谷歌广告主页,然后又被引导至专门设计用于窃取广告主谷歌账户用户名和密码的外部网站。

  攻击者正在使用谷歌的免费网站创建平台Google Sites来托管诱饵页面。Segura表示,这一战术使他们能够轻松绕过谷歌的一项政策,该政策允许广告商在广告中只包含与广告商域名相匹配的URL。“回顾一下这些广告和Google Sites页面,我们发现[这些]恶意[广告]并没有严格违反规则,因为sites.google.com和ads.google.com使用的是相同的根域名,”Segura说。“换句话说,允许在广告中显示这个URL,因此它无法与谷歌公司投放的广告区分开来。”

  谷歌正在积极调查网络攻击

  谷歌发言人在电子邮件评论中表示,公司目前正在“积极调查”这个问题,并正在努力快速解决问题。“我们明确禁止旨在欺骗人们以窃取他们的信息或对其进行诈骗的广告,”该发言人表示。

  作为背景信息,该发言人指出了恶意广告活动日益复杂和庞大的规模,并举例说明,威胁行为者曾同时创建了数千个恶意账户,在谷歌的平台上分发恶意广告。这些行为者经常使用文本操作等技术来绕过自动化检测机制。在其他情况下,他们使用伪装战术,向谷歌审核人员和系统展示与用户最终看到的不同的广告。“为了说明我们在2023年执法行动的规模,我们删除了超过34亿条广告,限制了超过57亿条广告,并暂停了超过560万个广告商账户,”该发言人表示。

  

  在接受Dark Reading采访时,Segura表示,这种新恶意活动最引人注目的部分是,通过将Google Sites的URL与广告相结合,假冒谷歌广告品牌。“这是一个简单但有效的把戏,使得这些广告与真正的广告几乎无法区分,”Segura说。更麻烦的是,这些恶意行为者经常使用被攻破的谷歌广告账户在谷歌搜索中投放更多虚假广告,这使得这项活动难以停止。

  他表示,谷歌应该让恶意行为者更难实施这种假冒计划。“‘如何’做到这一点更为复杂,因为它涉及审查业务实践和……现有的安全政策。”

  Segura表示,Malwarebytes正在通过谷歌广告团队可以访问的实时跟踪器跟踪和报告遇到的每一起恶意广告事件。“这对我们来说是一个有用的工具,不仅使报告过程更加容易,还能保留历史记录,”他指出。谷歌的回应是对Malwarebytes报告的广告采取行动。“但这些威胁行为者能够迅速卷土重来,就好像这场活动从未停止过。我们说的是几十个账户被烧毁,但仍有足够的账户让这场活动无限期地继续下去。”

0
相关文章