准确地创造了一个词:恶意广告活动一直在谷歌搜索上投放广告,冒充广泛使用的合法且非恶意的系统信息工具CPU-Z。该欺骗性活动一直通过 Google 搜索投放广告,诱骗用户下载包含 Redline 信息窃取恶意软件的 CPU-Z 版本。虽然某些用户可能拥有通常可以检测到这一点的浏览器保护和防病毒应用程序,但安装程序已进行数字签名,但包含恶意 PowerShell 脚本,从而有助于逃避检测。
创建了一个这样的网站,该活动从 11 月 2 日开始一直持续到网站所有者关闭该网站为止。根据当时的WHOIS信息,该域名来自Namecheap,PQ Hosting托管网站服务器。还应该注意的是,根据 Whois 详细信息,这是在撰写本文时一天前更新的,因此网站所有者可能已更改网站托管服务器并将其禁用。
利用 CPU-Z 的信任度和用户熟悉度进行攻击并不新鲜;最早可以追溯到2021年。有的甚至声称提供CPU-Z安装程序,只是先以下载器的形式下载安装。
我们中最优秀的人可能会上当,因为谷歌不会突出显示具有不同字体颜色或可见边框的广告,将其与自然搜索结果分开。虽然横幅广告很明显,但带有链接的基于文字的广告很容易被利用。其余的取决于网站设计(根据所报告的域名之一,URL 名称似乎并不是某些用户上当的因素)。通过特定的关键字和地理位置定位,运行此类恶意活动的人会在收到网站违规报告之前感染大量用户。
使用 Notepad++ 进行类似的活动
此恶意软件攻击活动与 Notepad++ 中看到的类似,可以追溯到 2021 年。一些 Notepad++ 用户在不知情的情况下从搜索结果上方的广告下载了该应用程序,并使用相同的方法利用了该系统。
据消息人士透露,RedLine Stealer 是一款于 2020 年 3 月发现的恶意软件。早在 2021 年 7 月 1 日,它就被发现伪装成隐私工具。
Google 广告政策和虚拟主机服务器的问题
谷歌确实有针对此类网站的政策,但即使谷歌检查网站和可下载内容是否有任何恶意软件,在广告获得批准后更改可下载内容也不难。这是广告网络和托管公司需要解决的挑战。
以低廉的价格创建一个网站是毫不费力的,向网络注册商和托管公司提供虚假的注册详细信息和信息也毫不费力。随着某些托管公司接受加密货币,很容易绕过通过信用卡提供真实信息的需要,或者能够根据信用卡凭证将用户列入黑名单。
看到这可能是一项有利可图的冒险,类似的活动被用于针对 Notepad++ 和 CPU-Z 等知名应用程序也就不足为奇了。在谷歌增加进一步的保护措施或至少在谷歌搜索结果中明确突出显示基于文字的广告之前,用户将需要留意链接上方的“赞助广告”措辞,并注意广告和搜索结果中显示的网站名称。
像往常一样,最好不要忽略安全应用程序的警告,假设它可能是误报。拥有敏锐的洞察力来发现不良的赠品是目前唯一的出路。
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):Google 搜索充满恶意软件的假CPU-Z
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论