恶意软件运营商越来越多地滥用 Google 广告平台，将恶意软件传播给用户。

在这些活动中模仿的产品包括Grammarly，MSI Afterburner，Slack，Dashlane，Malwarebytes，Audacity，μTorrent，OBS，Ring，AnyDesk，Libre Office，Teamviewer，Thunderbird和Brave。

威胁者克隆上述APP的官方网站，并在用户单击下载按钮时分发该软件的木马化版本。

以这种方式传送到受害者系统的一些恶意软件包括Raccoon Stealer的变体，Vidar Stealer的自定义版本和IcedID恶意软件加载程序。

另一个例子是使用虚假的MSI Afterburner门户用RedLine窃取程序感染用户的活动。

然而，一个缺失的细节是用户如何接触到这些网站，这条信息现在已经为人所知。

Guardio Labs和Trend Micro的两份报告解释说，这些恶意网站通过Google广告活动向更广泛的受众推广。

谷歌广告滥用

Google 广告平台可帮助广告商在 Google 搜索上推广网页，将其作为广告在结果列表中排在首位，通常位于项目的官方网站上方。

这意味着在没有活动广告拦截器的浏览器上寻找合法软件的用户将首先看到促销，并且可能会点击它，因为它看起来与实际搜索结果非常相似。

如果Google检测到着陆网站是恶意的，则该广告系列将被阻止，广告将被移除，因此威胁行为者需要在该步骤中使用技巧来绕过Google的自动检查。

根据Guardio和趋势科技的说法，诀窍是将受害者点击广告带到由威胁行为者创建的不相关但良性的网站，然后将他们重定向到冒充软件项目的恶意网站。

“当目标访问者访问这些”伪装“网站时，服务器会立即将它们重定向到流氓网站，然后从那里重定向到恶意负载，”瓜迪奥实验室在报告中解释道。

“这些流氓网站对于没有从真正的促销流中到达的访问者几乎是不可见的，这些网站显示为良性的，与爬虫，机器人，偶尔访问者无关的网站，当然还有Google的政策执行者” - Guardio实验室

有效载荷以ZIP或MSI形式提供，是从信誉良好的文件共享和代码托管服务（如GitHub，Dropbox或Discord的CDN）下载的。这可确保在受害者计算机上运行的任何防病毒程序都不会阻止下载。

Guardio实验室表示，在他们 11 月观察到的一场活动中，威胁行为者用木马版本的 Grammarly 引诱用户，该版本提供了浣熊窃取者。

该恶意软件与合法软件捆绑在一起。用户将获得他们下载的内容，恶意软件将以静默方式安装。

趋势科技的报告称，威胁行为者滥用Keitaro流量指示系统来检测网站访问者是研究人员还是有效受害者，然后再进行重定向。自 2019 年以来，滥用此 TDS 的情况一直存在。

避免有害下载

屏蔽这些广告的一种好方法是在您的网络浏览器上激活广告拦截器，该拦截器会过滤掉来自 Google 搜索的推广结果。

另一个预防措施是向下滚动，直到看到您要查找的软件项目的官方网站。如果不确定，官方域名将列在软件的维基百科页面上。

如果您经常访问特定软件项目的网站以获取更新，最好将 URL 添加为书签并将其用于直接访问。