當你想要下載一款軟體或尋求答案時,你會透過 Google 搜尋來查找,多年來經過不斷地演算法調整與最佳化搜尋結果,大部分時候你可以從中獲得你要的內容。Google 搜尋中有些欄位是提供給下廣告的品牌或網站,但是現在,不肖人士將魔爪伸向這個大家都不太會緊惕的角落,試圖魚目混珠讓用戶受騙上當。
駭客冒充 7-Zip、CCleaner、OBS 等知名軟體滲透 Google 搜尋廣告
駭客正在仿冒成一些流行、廣為人知的開放式原始碼軟體建立假網站,並且透過 Google 搜尋結果中的廣告欄位惡意傳播。在加密貨幣領域中至少有一位知名用戶成為該活動的受害者,聲稱允許駭客竊取持有的數位加密資產以及奪取對商務和個人賬戶的控制權。
上週末,知名加密貨幣領域人士 Alex(以 NFT God 聞名)在搜尋結果中的廣告欄位點擊前往並下載開放式直播與錄影軟體 OBS 時,由於執行了該網站上內包惡意程式的執行檔而受到駭客攻擊。在 Twitter 中他寫到,當他點擊 exe 檔案時什麼事情也沒有發生,幾個小時後,Twitter 帳戶就被駭客侵入了,此時的 Alex 還不曉得這還只是個開端。
After clicking the link and downloading the software, I went to install.
Nothing happened when I clicked the EXE
O well, maybe streaming wasn’t for me. I’ll attempt to become Brycent 2.0 another time
— NFT God (@NFT_GOD) January 15, 2023
很快,Alex 發現他們在 OpenSea NFT 市場的帳戶也遭到入侵,另一個錢包被列為他們數位資產之一的所有者。接著,Alex 發現他們的 Substack、Gmail、Discord 和加密貨幣錢包遭受了同樣的命運,並被駭客控制。
Last night my entire digital livelihood was violated.
Every account connected to me both personally and professionally was hacked and used to hurt others.
Less importantly, I lost a life changing amount of my net worth
— NFT God (@NFT_GOD) January 15, 2023
雖然這並不是一個新的攻擊方式,但不肖人士似乎更頻繁地利用,濫用 Google Ads 平台在搜尋結果中推送附帶惡意軟體下載的網站。網路安全公司 CronUP 的研究人員 GermánFernández 提供了 70 筆可疑網址清單,這些網址透過冒充正牌合法軟體網站透過搜尋結果中的 Google Ads 傳播。這些網站就是正牌網站的複製版,不是提供虛假軟體,就是將用戶重新定向到另一個下載位置。
目前安全研究人員發現在 Google 搜尋結果中最常被利用來下惡意廣告的軟體包含:
- 7-Zip
- Blender 3D
- Capcut
- CCleaner
- Notepad++
- OBS
- Rufus
- VirtualBox
- VLC Media Player
- WinRAR
- Putty
研究人員將此發現回報給 Google,而 Google 表示將會檢查回報中的其他廣告和網站是否違反政策,並且在必要時採取行動。Google 目前已經完成這項工作並且刪除回報中的惡意廣告。由於 Google 搜尋結果中的廣告與真正的搜尋結果之間的差異不大,大家容易掉以輕心地點擊,而且普遍認知中既然都下廣告了應該就是正牌官網,由此案例,大家務必睜大眼睛鑑別網站真偽才不會引狼入室喔!
