一項新發現的濫用谷歌廣告關鍵字(ad-words)強大廣告平台的技術正在大規模傳播惡意推廣搜索結果。這些搜索結果指向所謂可信的廣告網站(實際上完全由威脅分子控制),它們被用來僞裝,并将廣告點擊者重定向到惡意釣魚頁面,從而獲得谷歌搜索結果的強大可信度和廣告投放功能。威脅分子添加定制的惡意軟件載荷後,通過 Grammarly、Malwarebytes 和 Afterburner 等廣告關鍵字,以及 Visual Studio、Zoom、Slack 甚至 Dashlane 攻擊目标組織,提高在個人電腦上成功部署惡意軟件的機率。
我們将披露這種技術,展示實際的例子,并揭露名為 "Vermux" 的最大威脅團夥之一,該團夥利用大量的 " 僞裝廣告 "(masquerAds)網站和域名(主要來自俄羅斯),攻擊美國居民的 GPU 和加密貨币錢包,這些活動已經引起了美國聯邦調查局(FBI)的注意。
圖 1. 威脅分子在谷歌廣告流中僞裝其惡意網站的廣告
谷歌廣告的視角
谷歌廣告平台信譽卓著,可能是世界上使用最多的廣告平台之一,這有其充分的理由。我們都習慣不僅用它獲得有效相關的廣告,還通常快速導航到我們所尋找的網站。
比方說,你搜索 Grammarly,最終擺脫所有那些拼寫錯誤。你在搜索欄中輸入 "Grammarly",按回車鍵,然後迅速在搜索結果頁面的頂部獲得官方(可能是推廣的)Grammarly 網站。很容易。這也是谷歌看到的——他們得到與廣告登錄頁關聯的關鍵字的競價。廣告客戶是有效客戶嗎?廣告網站是合法網站嗎?沒問題,你的廣告已投放!
圖 2. 從谷歌廣告的角度來看,一起标準的推廣搜索結果廣告活動
從更廣泛的角度分析這個簡單的廣告流,并考慮到網站主機和訪客的異常行為,我們發現了許多傳播惡意軟件的惡意活動,目的和來源各異——完全使用谷歌廣告平台進行傳播。這個效果頗好的概念甚至已經引起了聯邦調查局的注意。
圖 3. 品牌、廣告關鍵字和知名搜索引擎都落入威脅分子的手裡
一個簡單的技巧就能避開谷歌廣告的注意
這個技巧很簡單——創建一個良性網站,用想要的關鍵字進行推廣,并保持它在策略執行者眼中有效且安全。不過,那些 " 僞裝 " 的網站被目标訪客(那些實際點擊推廣搜索結果的人)訪問時,服務器立即将他們重定向到惡意網站,進而重定向到惡意載荷——它們通常也隐藏在信譽良好的文件共享和代碼托管服務器中,比如 GitHub、Dropbox 或 discord 的 CDN 等。
圖 4. 谷歌廣告的背後到底發生了什麼?
那些惡意網站實際上是訪客看不見的,在爬蟲程序、機器人程序、偶爾的訪客,當然還有谷歌的策略執行者看來,真正的推廣流(比如以有效的 gclid 值到達)顯示為良性的無關網站。2022 年 12 月期間活躍的此類廣告流的幾個例子可以在這裡看到——左邊顯示了谷歌實際上做廣告的被屏蔽網站,右邊顯示的是廣告點擊者被重定向到的實際釣魚網站:
圖 5. 釣魚攻擊美國第一銀行客戶 / 利用 uTorrent、Audacity 和 Brave 等品牌傳播惡意軟件
為了深入研究這起騙局的技術細節,以下是 2022 年 11 月下旬觀察到的一路針對 Grammarly 的真實樣本流。推廣搜索結果會将你發送到域名 grammalry [ . ] org,這是 "Christian 供暖和空調 " 廣告,隻向那些直接訪問它的人投放。如果你點擊了這個推廣搜索結果,就生成一個唯一的點擊 id(谷歌的 Click ID,或 gclid),由威脅分子加以檢查;如果有效(而且隻有效一次 !),結合其他參數,比如訪客的地理位置和用戶代理等,它會将你轉發到域名 gramm-alry [ . ] com 下的惡意 Grammarly 釣魚頁面。
請注意,轉發在服務器端完成,隐藏起來、不被谷歌以及永遠不會看到 " 僞裝廣告 " 網站的訪客看見,看見的隻是實際的釣魚頁面:
圖 6. 從搜索下載 Grammarly 到下載和安裝惡意負載
Gramnarly 惡意軟件—— Raccoon 竊取器變種
不,這不是拼寫錯誤…… gramnarly [ . ] com 隻是其中一個 Grammarly 品牌的釣魚頁面。不,他們不會等别人拼錯域名。隻需要競購 Grammarly 廣告關鍵字,并創建 " 僞裝廣告 " 流:
圖 7. Grammarly 品牌的僞裝廣告流
既然這些威脅分子不需要浪費時間和精力就能覆蓋到最相關的目标(谷歌為他們做到了這點),他們可以在惡意載荷上投入更多的精力。的确,在這起活動中,Grammarly 載荷并不是普通保護機制可以快速檢測到的簡單竊取器。我們看到的一些更值得關注的特征包括如下:
與實際軟件捆綁——安裝 Grammarly 品牌的惡意軟件實際上會安裝 Grammarly 的副本。當然,它與悄然從事所有惡意活動的另一個可執行文件捆綁在一起。
臃腫的文件——安裝可執行文件(或其他變體的容器壓縮包)充斥着臃腫的零文件,隻是為了使文件比自動惡意軟件分析系統的最大允許大小更大,通常為 500Mb 及以上。此外,把帶有惡意代碼片段指紋的代碼降到 1% 以下是另一種減少檢測的好方法。動态執行是真正發現問題的最有效方法——我們幾乎看不到任何當前的保護供應商自動執行這些巨大的文件。
定期更改載荷——由于規模較小,每天可以使用細小的更改來重新創建載荷,使用竊取器或加密貨币挖礦軟件等惡意軟件的不同惡意載荷。所以有一天你從 dropbox 文件夾下載了 Raccoon 竊取器 ,下一天它成了來自 discord CDN 服務器的可執行 MSI 文件中的 Vidar 竊取器。
即使對 Virus-Total 而言,我們提交的内容也花了好幾天才得到啟發式檢測:
圖 8. 從 grammartly [ . ] org 下載的 Grammartly.exe
當前的 Virus Total 報告在此: https://www.virustotal.com/gui/file/3baf692a1589355af206f4e3886a09fe8997f0b62c78c1403556285eaba40e94/detection
Vermux ——針對 GPU 的大規模活動
濫用這種技術進行傳播的大規模活動無疑是我們稱為 Vermux 的攻擊 GPU 的威脅分子。Vermux 針對任何擁有或可能擁有 GPU 硬件的計算機,通過攻擊受這類 PC 用戶歡迎的相關品牌的軟件工具或驅動程序來攻擊。
列表頂部是關鍵字 "Afterburner",指 MSI Afterburner 顯卡工具,可以在這些真正的搜索結果中看到,顯示 adBuffer 域名 afterbern [ . ] live 如何出現在列表頂部:
圖 9. 真正的搜索結果顯示了推廣的僞裝廣告網站 afterbern [ . ] live
Afterburner 被許多遊戲玩家以及圖形設計師用來控制、超頻和榨取 GPU。Vermux 針對的就是這種 GPU,不過出于另一個原因:挖掘加密貨币。的确,點擊上圖所示的推廣搜索結果,最終會将你重定向到隐藏的惡意網站,它看起來與原始網站一模一樣:
圖 10. 你能看出區别嗎?(右邊是假的)
幾周前,研究人員注意到 MSI Afterburner 活動的載荷,這種載荷其實很難被檢測到。我們充分了解僞裝廣告這種難以捉摸的傳播技術後,得以發現 Vermux 的全面性和多用途性——其覆蓋範圍遠不止一個虛假的 Afterburner 安裝程序這麼小。
Vermux 在主要位于俄羅斯的服務器上部署了數百個域名、" 僞裝廣告 " 網站以及釣魚頁面,主要向美國和加拿大居民投放惡意廣告。這夥威脅分子濫用大量品牌,并不斷演變。
主要的攻擊途徑是追蹤這些 GPU。以下是表明 adBuffer 流在 2022 年 11 月至 12 月期間活動的幾個例子。首先是流行的 MSI Afterburner,我們已在上面看到:
圖 11. Vermux MSI Afterburner 流
另一個備受 GPU 用戶歡迎的知名品牌是開源 3d 編輯和渲染軟件 "Blender":
圖 12. 針對 Blender 用戶的僞裝廣告流
除此之外,Vermux 還利用其他途徑獲取更多利潤——一些針對加密貨币錢包和密碼,一些針對 Vermux 能獲得控制的其他流行工具,還有一些直接針對交易或銀行賬戶:
圖 13. Vermux 操縱的僞裝廣告流的另外幾個例子
Vermux 惡意軟件載荷——在 GitHub 上免費投放
Vermux 的載荷主要基于用來控制的 Vidar 木馬,以及針對基于 python 的 Monero 挖礦軟件的一些專有編譯。這些文件遵循我們之前提到的規則,這使得它們難以被發現。Vermux 不僅濫用谷歌廣告的聲譽和傳播力量,還濫用 BitBucket、GitHub、Dropboxx 和 OneDrive 等已知文件共享服務和代碼庫的聲譽。下面是在 GitHub 中發現的此類代碼庫的幾個例子:
圖 14. GitHub 上的 MyNameisVermux 公共代碼庫
上述是一個名為 sofwarefree 的代碼庫,用戶 Dor4il135 上傳了不同的 " 惡意軟件化 " 安裝包,面向 Slack、OBS、Blender 甚至 Norton Antivirus(18.exe)。
圖 15. GitHub 上的 Dor4il135 公共代碼庫
最後一個是 Dor4il135 自己的代碼庫活躍了一個多月,現在終于被下架了。一個月的時間夠長了,它投放與 Vidar 及其他惡意軟件變體捆綁在一起的不同類型的軟件,幾乎每天都會以新版本加以更新,主要是為了改變二進制足迹以免被檢測。
總結
安全說白了是信任的問題——因此,我們在網絡上的日常活動不斷依賴信譽良好的供應商。人無完人,可能更多的壞人利用這些安全漏洞,其手法是我們無法想象的。本文披露了這一點——強大的廣告系統、全球内容交付和安全基礎設施背後的那些公司與那些行蹤捉摸不定的威脅分子不斷較量,威脅分子設法隐蔽起來,利用值得信賴的其他品牌牟取私利。
這個 " 僞裝廣告 " 概念很簡單,但恰恰是那些威脅分子所需要的——濫用我們有時對谷歌及推廣搜索結果盲目寄予的信任。除此之外,濫用信譽良好的文件共享服務以及知名軟件品牌使威脅分子甚至逃避市場上最先進的終端檢測和響應(EDR)産品。我們不可避免地要采取一種更注重行為的保護措施,即使是針對像谷歌搜索這種最常見的行為。
不要被拼寫錯誤的域名所迷惑,總是仔細檢查從哪裡下載文件。
攻陷指标(IOC)
2022 年 11 月至 12 月期間各種活躍域名和 IP,包括惡意軟件樣本鍊接和 virus-total 分析:
https://gist.github.com/guardiolabs/2178c54367d20b0655b5cc5e9d297760
2022 年 11 月至 12 月期間的 Vermux 活動:
https://gist.github.com/guardiolabs/7f46d1adda8b0c08e76f23d9fab27fe9
