犯罪分子通过虚假谷歌广告洗劫广告商账户

概述

网络犯罪分子瞄准通过 Google 广告投放广告的个人和企业，通过欺诈性的 Google 广告诱骗他们获取凭证。

该计划包括通过冒充 Google Ads 并将受害者重定向到虚假登录页面来窃取尽可能多的广告客户帐户。我们认为他们的目标是在黑帽论坛上转售这些帐户，同时保留一些帐户以延续这些活动。

这是我们追踪到的最恶劣的恶意广告行为，触及了 Google 业务的核心，可能影响了全球数千名客户。我们一直在昼夜不停地报告新事件，但即使在发布时，仍不断发现新事件。

下图从高层次说明了广告商被欺骗的机制：

图 1：此 Google Ads 抢劫活动的流程

犯罪分子冒充 Google 广告

广告商不断试图通过购买全球第一大搜索引擎上的广告空间来吸引潜在客户。这让谷歌在 2023 年获得了高达 1750 亿美元的搜索广告收入。可以说，广告预算可能相当可观，而且出于多种原因，这引起了骗子的兴趣。

我们最初是在无意中注意到与 Google 帐户相关的可疑活动的，经过深入研究后，我们能够将其追溯到恶意广告......Google Ads 本身！很快，我们就被大量欺诈性的“赞助”结果所淹没，这些结果专门用于冒充 Google Ads，如图2所示：

图 2：伪装成 Google Ads 的恶意广告

虽然很难相信这样的事情真的会发生，但当你点击显示有关广告商的更多信息的三点菜单时，证据就在那里。我们部分掩盖了受害者的名字，但显然不是谷歌；他们只是众多已经被入侵和滥用来欺骗更多用户的账户之一：

图 3：这则广告背后的广告商与 Google 完全没有关联

看到这些广告的人是想要在 Google 搜索上投放广告或已经在投放广告的个人或企业。事实上，我们看到了大量专门针对每种场景（注册或登录）的广告，如图4所示：

图 4：两个分别用于注册和登录 Google Ads 的广告

Google Ads 的虚假广告来自不同地区的各种个人和企业。其中一些被黑的帐户已经投放了数百条其他合法广告，其中一条广告是台湾一家知名电子公司的广告。

图 5：受害者账户将自己的预算花在虚假的 Google 广告上

为了了解这些活动的地理范围，我们从几个不同的地理位置（使用代理）同时执行了相同的 Google 搜索。首先，这是来自巴拉圭注册企业的美国 IP 地址的恶意广告：

图 6：美国搜索结果显示虚假 Google 广告

现在，这是在其他几个国家的 Google 搜索中出现的同一广告：

图 7：不同国家/地区的同一广告

托管在 Google 协作平台上的诱饵

一旦受害者点击这些欺诈性广告，他们就会被重定向到一个看起来像 Google Ads主页的页面，但奇怪的是，该页面托管在Google Sites上。这些页面充当外部网站的门户，专门用于窃取令人垂涎的广告商的 Google 帐户的用户名和密码。

图 8：冒充 Google Ads 的恶意 Google Sites 页面

使用 Google Sites 是有充分理由的，不仅因为它是免费的一次性商品，还因为它允许完全模仿。事实上，除非您的目标网页（最终网址）与同一域名匹配，否则您无法在广告中显示网址。虽然这是一条旨在防止滥用和模仿的规则，但它很容易被绕过。

图 9：规定显示网址和最终网址必须具有匹配域名的规则

回顾该广告和 Google Sites 页面，我们发现这个恶意广告并没有严格违反规则，因为sites.google.com使用相同的根域 ads ads.google.com。换句话说，允许在广告中显示此 URL，因此与 Google LLC 发布的相同广告没有区别。

图 10：恶意广告并未违反 Google 关于显示网址使用的规则

钓鱼式攻击，获取 Google 帐户凭据

受害者点击 Google Sites 页面上的“立即开始”按钮后，会被重定向至包含钓鱼工具包的其他网站。JavaScript 代码会在用户执行每个步骤时采集用户指纹，以确保所有重要数据均被秘密收集。

图 12：接下来的实际钓鱼页面

最后，所有数据与用户名和密码组合，通过 POST 请求发送到远程服务器。我们发现犯罪分子甚至会获取受害者的地理位置，包括城市和互联网服务提供商。

图 12：包含受害者详细信息的 POST Web 请求

受害者学

网上有多名用户看到了虚假的谷歌广告并分享了他们的经历：

我们联系到了几位受害者，他们不仅看到了广告，还真的被骗了钱。通过他们的证词和我们自己的研究，我们对犯罪分子的作案手法有了更好的了解：

• 受害者在钓鱼页面输入自己的 Google 账户信息
• 网络钓鱼工具包收集唯一标识符、cookie、凭证
• 受害者可能会收到一封电子邮件，表明登录地点不寻常（巴西）
• 如果受害者未能阻止此尝试，则会通过其他 Gmail 地址将新管理员添加到 Google Ads 帐户
• 威胁者疯狂消费，并尽可能锁定受害者

这些活动的背后是谁？

我们发现有两个主要的犯罪团伙在实施这种计划，但目前最为猖獗的是一个由葡萄牙语使用者组成的团伙，他们可能在巴西境内活动。受害者还表示，他们收到了 Google 的通知，表明来自巴西的登录信息可疑。不幸的是，这些通知通常来得太晚或被忽略为合法，犯罪分子已经有时间进行破坏。

我们还应该注意第三项活动，它与前两项活动截然不同，威胁行为者的主要目标是分发恶意软件。Google Ads 网络钓鱼计划可能只是暂时的，并不是他们的主要关注点。

巴西队

几天之内，我们向 Google 广告团队报告了 50 多条欺诈性广告，这些广告均来自这个巴西组织。我们很快意识到，无论报告了多少起事件并删除了多少条广告，威胁行为者还是设法全天候保留了至少一条恶意广告。

图 13显示了点击广告产生的网络流量。您将看到在最终到达网络钓鱼门户之前经过了多次跳转。第二个 URL 显示骗子正在使用付费服务来检测虚假流量。

图 13：“巴西行动”的网络流量

在网络钓鱼工具包的 JavaScript 代码部分中，有葡萄牙语注释。图 14显示了执行浏览器指纹识别的部分代码，这是一种识别用户的方法。浏览器语言、系统 CPU、内存、屏幕宽度和时区是收集并进行哈希处理的一些数据点。

图 14：通过各种设置识别用户

亚洲队

第二组使用来自香港的广告客户账户，似乎位于亚洲，可能来自中国。有趣的是，他们也利用谷歌网站使用同样的交付链。然而，他们的网络钓鱼工具包与巴西同行完全不同。

图 15：“中国活动”的网络流量

下面的图 16展示了带有中文注释的代码摘录，以及一个名为xianshi的函数，显示的拼音（Xiǎnshì）意思是显示（感谢留下评论和澄清的人）。

图16：带中文注释的代码

第三次战役（可能是东欧）

我们观察到另一起攻击活动，其作案手法截然不同。Google Sites 完全不参与其中，而是依靠伪造的 CAPTCHA 诱饵和高度混淆的钓鱼页面。

有趣的是，尽管 ads-goo[.]click 域名很明显，但我们发现的恶意广告是针对 Google Authenticator 的。然而，大约一天左右的时间里，来自该域名的重定向直接指向托管在ads-overview[.]com 上的钓鱼门户。

我们之所以认为威胁行为者可能是东欧人，是因为重定向和混淆的类型。我们之前曾报道过“通过 Google 广告下载软件”的感觉也有点遥远。

图 17：Google Authenticator 的恶意广告和伪造的 CAPTCHA

然后， PHP 脚本 ( cloch.php ) 会确定访问者是否真实（可能进行服务器端 IP 检查）。VPN、机器人和检测工具将获得一个“白页”，其中显示一些有关如何运行 Google Ads 活动的虚假说明。受害者会被重定向到ads-overview[.]com，这是一个针对 Google 帐户的网络钓鱼门户。

图 18：使用“白色”页面或钓鱼页面进行伪装

几天后，当我们再次检查此活动时，我们发现广告 URL 现在重定向到伪造的 Google Authenticator 网站，可能会下载恶意软件。重定向机制如图20 所示：

图 19：假冒 Google Authenticator 网站的网络流量

为其他恶意软件和诈骗活动提供助力

被盗的 Google 广告帐户对窃贼来说是一种有价值的商品。正如我们在本博客中多次详述的那样，恶意广告活动不断利用被盗广告商帐户来购买广告，以推动诈骗或传播恶意软件。

• 打印机出现问题？警惕虚假帮助
• 恶意广告向 Kaiser Permanente 员工分发 SocGholish 恶意软件
• 你好，FakeBat：热门加载器在停产数月后回归
• 大规模 Google 广告活动瞄准实用软件

如果你仔细想想，骗子们正在利用别人的预算来进一步传播不法行为。无论这些钱是花在合法广告上还是恶意广告上，谷歌仍然能从这些广告活动中赚取收入。输家是被黑客入侵的广告商和被钓鱼的无辜受害者。

因此，对受损的广告账户采取行动对于减少恶意广告攻击起着关键作用。尽管谷歌自己有这方面的政策，但它尚未表明会采取明确措施冻结此类账户，直到其安全恢复（图 20）。例如，我们最近看到一个案例，同一个广告商已经被举报 30 次，但仍然活跃。

攻击指标

虚假的 Google 网站页面

网站[.]google[.]com/view/ads-goo-vgsgoldx网站[.]google[.]com/view/ads-word-cmdw网站[.]google[.]com/view/ads-word-makt网站[.]google[.]com/view/ads-word-whishw网站[.]google[.]com/view/ads-word-wwesw网站[.]google[.]com/view/ads-word-xvgt网站[.]google[.]com/view/ads3dfod6hbadvhj678网站[.]google[.]com/view/adwoord网站[.]google[.]com/view/aluado01网站[.]google[.]com/view/ap-rei-pandas网站[.]google[.]com/view/appsd-adsd网站[.]google[.]com/view/asd-app-goo网站[.]google[.]com/view/connectsing/addss网站[.]google[.]com/view/connectsingyn/ads网站[.]google[.]com/view/entteraccess网站[.]google[.]com/view/exercitododeusvivo网站[.]google[.]com/view/fjads网站[.]google[.]com/view/goitkm/google-ads网站[.]google[.]com/view/hdgstt网站[.]google[.]com/view/helpp2k网站[.]google[.]com/view/hereon/1sku4yf网站[.]google[.]com/view/hgvfvd网站[.]google[.]com/view/joaope-defeijao网站[.]google[.]com/view/jthsjd网站[.]google[.]com/view/logincosturms/ads网站[.]google[.]com/view/logins-words-officails网站[.]google[.]com/view/logins-words-officsdp网站[.]google[.]com/view/maneirionho网站[.]google[.]com/view/marchatrasdemarcha网站[.]google[.]com/view/newmanage/page网站[.]google[.]com/view/one-vegas网站[.]google[.]com/view/one-vegasw网站[.]google[.]com/view/onvg-ads-word网站[.]google[.]com/view/oversmart/new网站[.]google[.]com/view/pandareidel网站[.]google[.]com/view/polajdasod6hbad网站[.]google[.]com/view/ppo-ads网站[.]google[.]com/view/quadrilhadohomemtanacasakaraio网站[.]google[.]com/view/ricobemnovinhos网站[.]google[.]com/view/s-ad-offica网站[.]google[.]com/view/s-wppa网站[.]google[.]com/view/sdawjj网站[.]google[.]com/view/semcao网站[.]google[.]com/view/sites-gb网站[.]google[.]com/view/soarnovo网站[.]google[.]com/view/so-ad-reisd网站[.]google[.]com/view/spiupiupp-go网站[.]google[.]com/view/start-smarts网站[.]google[.]com/view/start-smarts/homepage/网站[.]google[.]com/view/umcincosetequebratudo网站[.]google[.]com/view/vewsconnect网站[.]谷歌[.]com/view/vinteequatroporquarenta网站[.]谷歌[.]com/view/xvs-wods-ace网站[.]谷歌[.]com/view/zeroumnaoezerodois网站[.]谷歌[.]com/view/zeroumonlinecomosmp

钓鱼域名

account-costumers[.]site account-worda-ads[.]benephica[.]com account-worda-ads[.]cacaobliss[.]pt account[.]universitas-studio[.]es accounts-ads[.]site accounts[.]google[.]lt1l[.]com accounts[.]goosggles[.]com accounts[.]lichseagame[.]com accousnt-ads[.]tmcampos[.]pt accousnt[.]benephica[.]pt accousnt[.]hyluxcase[.]me accousnt[.]whenin[.]pt ads-goo[.]click ads-goog[.]link ads-google[.]io-es[.]com ads-overview[.]com ads1.google.lt1l.com ads1[.]google[.]veef8f[.]com adsettings[.]site adsg00gle-v3[.]vercel[.]app adsgsetups[.]shop advertsing-acess[.]site advertsing-v3[.]site as[.]vn-login[.]shop benephica[.]pt cacaobliss[.]pt colegiopergaminho[.]pt docs-pr[.]top tmcampos[.]pt vietnamworks[.]vn-login[.]shop

原文始发于微信公众号（TtTeam）：犯罪分子通过虚假谷歌广告洗劫广告商账户