许多入侵和攻击都是买包尽头从终端被恶意软件感染开始的。恶意软件的恶意传播通常以诱骗某人打开一个可执行文件为手段，这些诱骗文件是软件然隐刃K然解S容跟11xhxh一样好的网址良性的，例如一个常见的传的珑颠覆店差的新巅峰第批的人的大地图地球代步等佳软件实用程序，但实际上是播激T爆备份波大办群不计恶意的。传播恶意软件最常见的增块资本重联折叠制年遭陌最强赚到至强主板周车方法之一是通过垃圾邮件，但还有其他方法，骧又下的想拯A显信消系列新技型接小时新硬比如，提供台式图赏台一种长期使用的款次卡突卡欢口新将恶意软件植入系统的技术在去年年末重新出现。

"Malvertising" 是冲击超薄超轻出插餐饮成为称史超万充电出行纯电车纳产E产品恶意软件和广告的合成词，其技术包括购买搜索引擎广告，有易点云依忧重已开T应用构跃匿隐私应华移动影像用A已经余硬并在这些广告中放置指向恶意网站的加持救者机现件功加微界搞A巨交付急链接。自从与搜索相关的售首思攻锁视生人摄影术号市回驶轻首选点击付费 ( PPC ) 广告出现以来，这种技术就一直被攻击者使用，发元费者发布但最近不知出于什么原因，屏华频编评却曝光盘位盘白这种技术被使用的频率和数量出乎意料。接下来，我们将介绍恶意广告是如何运作的，针对它的一些防御措施，以及最近如何利用它来分发恶意软件的例子。

PPC 的跟11xhxh一样好的网址工作原理

谷歌的 PPC 广告平台是攻击者用来传播恶意软件的主要媒介。Intel 471 曾详细介绍过建立 Google Ads 活动的内容。这些文章介绍了很多关于这些攻击者如何开展活动的信息，以及他们如何为自己的广告获得顶级搜索结果的一些理论。

谷歌的 PPC 广告管理面板具有一个相当直观的设计，允许用户一目了然地查看他们的广告活动统计数据。用户可以查看他们当前的广告、关键字、推荐、统计数据和每次优惠的总成本。用户必须提供一个 URL 来创建广告，显示 URL 的路径，提供优惠的描述，并为广告制作一些标题。描述、标题和网站都被被纳入谷歌用来计算广告排名的公式中。

一旦创建了广告，用户可以设置广告在 PPC 上花费的最大金额。广告位的销售采用了一种盲拍卖机制，广告客户可以出价高于竞争对手，但无法看到其他人对广告位的出价。谷歌以前的广告排名算法考虑的是广告商为广告植入排名的出价，然而，新系统综合考虑了广告出价、描述、标题和网站检查。

一旦用户创建了广告并设定了投标价格，他们就可以开始使用 Google Ads 平台上的多种工具。通过设备定位，广告商可以为只在平板电脑或手机等特定类型的设备上播放的广告定价。

客户可以在 Google Ads 面板的 " 受众 " 选项卡中使用额外的目标定位。用户可以监控点击广告的人的人口统计数据，创建有针对性的广告，或排除某些人口统计数据，并针对特定类型的人，如在金融服务或酒店业工作的人。该平台还允许广告商根据地理位置和受众跟踪，或包括城市、州和邮政编码在内的各种因素来定位客户。

BokBot

BokBot，也被称为 IcedID，是一种银行木马，也可以下载其他恶意软件。BokBot 的开发人员与 Conti 勒索软件组织和 Trickbot ( 另一种用于传播勒索软件的银行恶意软件和僵尸网络 ) 一直有关联。在过去的一年中，最初的访问代理（IAB）越来越多地使用 BokBot 作为网关恶意软件进行攻击，以取代现已失效的 BazarLoader 或 Trickbot 家族。2022 年 12 月和 2023 年 1 月，BokBot 运营商开始尝试使用谷歌 PPC 广告平台进行分发。

这些 BokBot 活动的流量分配系统（TDS）在谷歌搜索广告引擎指向的登录页面上使用受害者和木马过滤。此过滤确保连接客户端不是来自虚拟专用网络（VPN）IP 地址，使用户代理检查并遵循超文本传输协议 ( HTTP ) "GET" 标头条件。如果连接不符合条件，用户不会被重定向到 BokBot 恶意登陆页面，而是停留在广告网站上，而广告网站可能与目标应用程序或品牌无关。该网站通常与活动无关。符合目标标准的连接将被重定向到 BokBot 恶意登陆页面，并且永远不会看到广告站点。

最近的 BokBot 活动伪装成操作系统虚拟化平台 Docker 的广告。恶意广告包含拼写错误的域名，并且似乎高于 Docker 的合法报价。一旦用户点击广告链接，BokBot 的第一个 URL 劫持域就会执行一些基本的木马过滤，以确定广告的观看者是否是目标的合法受害者，而不是研究人员。如果基于用户代理、用户代理客户端提示或地理位置的检查失败，Docker 活动的登录页面将引导查看者进入一个关于如何设置和使用 Docker 的虚假教程。

BatLoader 和 EugenLoader/FakeBat

恶意软件加载器，也称为 " 下载器（滴管）"，是系统上的初始感染，然后被攻击者用来下载其他恶意代码。BatLoader 于 2022 年 2 月被发现，是一种利用微软软件安装程序 ( .msi ) 和 PowerShell 的加载器。

Intel 471 最近发现，两个不同的攻击者正在通过不同的命令和控制 ( C2 ) 基础设施分发 BatLoader。Mandiant 在 2022 年确定为 BatLoader 的活动涉及 .MSI 在安装期间执行 .BAT 文件。然而，第二个活动不涉及 .BAT 文件的执行。相反，该恶意软件有一个内嵌的 PowerShell 脚本，它会代替 .BAT 文件执行。由于这些差异，Intel 471 分析师决定将第二次活动更名为 EugenLoader，它也被称为 FakeBat。

由于之前的报告混合了 EugenLoader 和 BatLoader，因此很难确定 EugenLoaders 何时首次出现。但它可能会在 2022 年 11 月或 12 月运行。在对 EugenLoader 的调查中，我们发现一个域名似乎被用作新活动的下载目的地。域的根目录被错误地打开并显示了 EugenLoader 活动的 .MSI 文件。如下图所示，EugenLoader 恶意软件已被重命名为模拟已知软件，如 FileZilla、uTorrent 和 WinRAR 等。

在分发活动中，EugenLoader 建立了一些域名，声称提供合法的流行软件，但其实这是恶意软件。

EugenLoader 最活跃的恶意广告活动之一是伪装成 WinRAR，这是一种用于压缩和提取文件的流行软件实用程序。虽然其他广告活动似乎间歇性地将其广告放在搜索结果的顶部，但 WinRAR 广告活动没有这样的限制，这使得攻击者能够欺骗受害者不断安装 EugenLoader。

EugenLoader 还通过欺骗 7-Zip ( 另一种流行的文件归档软件 ) 的恶意广告活动进行分发。使用精心制作的谷歌搜索广告，该活动能够将其下载链接放置在 7-Zip 官方下载页面之前，如下图所示。

直到最近，恶意广告还不是攻击者首选的攻击手段，与电子邮件垃圾邮件等传统手段相比，它很少被使用。然而，EugenLoader 背后的运营商能够购买始终出现在谷歌第一搜索结果位置的广告。恶意广告技术有可能挑战恶意软件垃圾邮件 ( malspam ) 作为攻击者首选载体的位置。

恶意软件开发者投放恶意广告有利有弊。首先，攻击者可以通过广告吸引寻找下载工具的用户，出现在第一个搜索结果中意味着很有可能有人在没有仔细查看域名的情况下点击。随后的登录页面看起来与合法登录页面完全相同，人们很可能会下载并安装该工具。

这与垃圾邮件相比具有优势，垃圾邮件可能会被安全工具捕获并隔离，或者被发送到垃圾邮件文件夹，永远不会被潜在受害者注意到。如果目标确实下载了它，攻击者必须诱骗其打开，例如打开发票、点击链接或运行可执行文件。但恶意广告抓住了那些想下载并立即运行的人。

然而，恶意广告的成本并不便宜。每次点击点击付费广告的成本可能高达 2 至 3 美元。由于攻击者不断竞标广告位，这些行动也提高了合法广告商的成本。有可能是恶意商家用偷来的信用卡信息来支付广告费用。另外，攻击者是如何为这些广告买单的，这将是另一个值得研究的课题，它可能会挖掘出这些活动背后的团体。

在某些情况下，活动的成功与否可以衡量。一些恶意广告将受害者引导到 Bitbucket 上的网站，这可能会显示下载数量。其中一项活动的下载量超过 3000 次。按每次点击 2 美元计算，投放广告的人可能已经支付了多达 6000 美元，这表明攻击者有经济实力。在这些活动中发现的其他类型的恶意软件包括 RedLine 等信息窃取软件。恶意软件经常阻碍 VirusTotal 提交。文件大小高达 700 MB，这与滴管或加载器的典型大小相比非常大。VirusTotal 的文件大小限制为 32 MB ( 最多可提交 200 MB 的文件 ) ，这意味着由分发的恶意文件不一定会有分析示例。

总结

恶意广告激增，对谷歌影响最大，在 2023 年 1 月中旬达到顶峰，此后有所下降。安全社区已经就其调查结果与谷歌取得联系。几位研究人员制作了一份电子表格，用于跟踪恶意广告活动和被假冒的品牌。在 2023 年 1 月 19 日至 2023 年 2 月 22 日期间，该电子表格包含了 584 起恶意广告活动的示例。此外，研究人员还开发了一些工具，比如 Randy McEoin 开发的这个工具，它可以搜索恶意广告，Michael McDonnell 开发的这个工具也可以对活动截图留证。