近期,一种新型诈骗手段在谷歌广告中悄然出现。黑客竟然冒充谷歌,诱骗用户下载所谓的“Google Authenticator”,而实际上这是一款源自 GitHub 的恶意软件。更令人惊讶的是,这些恶意广告似乎还通过了谷歌的验证。
如今,谷歌上的品牌冒充现象愈发猖獗,不法分子甚至敢直接冒充谷歌本身。
据最新报告,尽管谷歌上的恶意广告通常会诱骗无辜用户下载恶意软件或者访问钓鱼网站以获取私人数据,但它们往往伪装得极为官方,甚至让人误以为经过了谷歌的严格审核。
研究人员发出警示:“倘若您在近几日试图通过谷歌搜索来下载广受欢迎的 Google Authenticator(一种多因素身份验证程序),那么您极有可能在不经意间将恶意软件安装到了自己的电脑上。”
那么,这种骗局是如何运作的呢?当您在谷歌上进行搜索时,相关的(赞助)广告就会出现在页面顶部。黑客找到了办法,将恶意广告伪装成来自官方的来源,就连广告商的身份也看似经过了谷歌的验证。
在此次案例中,Google Authenticator 的广告展示了 google.com 的官方网站以及恰当的描述。倘若用户查看广告商,会发现名为“Larry Marr”。然而,谷歌却声称广告商的身份已通过验证。
专家指出:“实际上,Larry Marr 与谷歌毫无关联,很可能是个虚假账户。”
当用户点击广告后,他们会在攻击者控制的中间域之间多次被重定向。最终,进入到一个虚假的身份验证器网站。
在这起事件中,欺诈网站 chromeweb-authenticators[.]com 是在广告被发现的同一天,通过托管服务提供商 NICENIC INTERNATIONAL GROUP CO., LIMITED 注册的。
这一事件的影响并未就此停止。这些虚假网站允许用户下载托管在 GitHub 上的 Authenticator.exe,而 GitHub 是众多开发人员常用的分享作品的平台。
虽然该文件在一天前才进行了签名,但签名依然有效。签名者是一家名不见经传的公司——松原美英电子产品有限公司,而非谷歌。
一旦安装了 Authenticator.exe,就会有 DeerStealer(一种专门窃取个人数据的恶意软件)危害用户的电脑。登录页面的源代码中还显示了俄语评论。
为何威胁行为者会选择在 GitHub 上发布恶意软件呢?
专家解释道:“将文件托管在 GitHub 上,能让威胁行为者利用可信的云资源,常规手段很难对其进行阻拦。虽说 GitHub 是事实上的软件存储库,但并非其中托管的所有应用程序或脚本都是合法的。”
任何人都能够创建 GitHub 账户并上传文件。威胁者正是利用了这一点,创建了用户名“authe-gogle”和包含 Authenticator.exe 文件的恶意存储库“authgg”。
此前,交互式云端恶意软件沙箱 AnyRun 也曾发现类似的感染链,只不过签名和账户名有所不同。
真正的 Google Authenticator 本是知名且深受信赖的多因素身份验证工具,备受许多网络安全专业人士的推崇。
“颇具讽刺意味的是,潜在的受害者在努力提升自身安全状况时却遭受攻击。我们强烈建议不要点击广告去下载任何类型的软件,而是直接访问官方存储库。”报告最后总结道。
要知道,谷歌“核实”的诈骗者在谷歌广告中冒充品牌,这已成为一个颇为普遍的问题。
