虚假谷歌广告瞄准微软广告账户,恶意软件攻击再升级
字数 1335 2025-08-22 12:23:41

恶意广告与钓鱼攻击技术分析及防御指南

一、针对微软广告账户的恶意广告攻击分析

1.1 攻击概述

网络安全研究人员发现针对微软广告用户的恶意广告活动,攻击者通过伪造的谷歌广告将用户引导至钓鱼页面,窃取登录凭证。

1.2 攻击流程

  1. 攻击者在谷歌搜索中投放恶意广告
  2. 用户搜索"微软广告"等关键词时显示这些广告
  3. 用户点击后被重定向至钓鱼页面(ads.mcrosoftt[.]com)
  4. 钓鱼页面模仿微软合法页面(ads.microsoft[.]com)
  5. 窃取用户登录凭证和双因素认证(2FA)代码

1.3 技术特点

  • 流量过滤技术
    • 来自VPN的流量被重定向到虚假营销网站
    • 使用Cloudflare验证挑战过滤机器人
  • 反检测机制
    • 直接访问最终登录页面会被重定向到YouTube视频
    • 使用巴西托管服务(.com.br域名)规避检测
  • 持久性
    • 部分钓鱼基础设施可追溯至几年前
    • 可能同时针对Meta等其他广告平台

二、短信钓鱼攻击技术分析

2.1 USPS钓鱼攻击概述

攻击者利用短信发送虚假USPS(美国邮政服务)通知,声称包裹投递失败,诱导用户点击恶意PDF附件。

2.2 攻击流程

  1. 受害者收到包含恶意PDF附件的短信
  2. PDF中包含"点击更新"按钮
  3. 点击后跳转至USPS钓鱼网页
  4. 要求输入邮寄地址、电子邮件和电话号码
  5. 进一步窃取支付卡信息

2.3 技术特点

  • PDF混淆技术
    • 不使用标准/URI标签嵌入可点击链接
    • 使恶意URL能绕过终端安全解决方案检测
  • 数据窃取机制
    • 输入数据被加密后传输到攻击者服务器
  • 规模与基础设施
    • 已发现20个恶意PDF文件和630个钓鱼页面
    • 表明是大规模有组织攻击

2.4 iMessage钓鱼变种

  • 利用苹果iMessage传递钓鱼页面
  • 通过要求用户回复"Y"或"1"来绕过iMessage安全措施
  • 与中文威胁组织"Smishing Triad"技术相关
  • 使用Darcula钓鱼即服务(PhaaS)工具包

三、防御措施建议

3.1 针对恶意广告攻击的防御

  1. 广告平台防护

    • 实施严格的广告审核机制
    • 对类似"微软广告"等关键词广告加强监控
    • 建立快速下架机制

  2. 终端用户防护

    • 仔细检查URL拼写(如mcrosoftt vs microsoft)
    • 使用书签访问重要服务而非通过搜索
    • 启用多因素认证(MFA)
    • 安装信誉良好的安全软件

  3. 企业防护

    • 对广告账户设置访问限制和审批流程
    • 监控异常登录活动
    • 对员工进行安全意识培训

3.2 针对短信钓鱼的防御

  1. 终端防护

    • 不点击短信中的不明链接或附件
    • 验证发送者身份
    • 使用移动设备安全解决方案

  2. 技术防护

    • 部署能检测混淆PDF的安全解决方案
    • 实施URL过滤和信誉评级
    • 启用短信钓鱼防护功能

  3. 组织防护

    • 建立报告可疑信息的流程
    • 定期更新安全策略应对新威胁
    • 模拟钓鱼测试提高员工意识

四、总结与展望

当前网络威胁呈现以下趋势:

  1. 攻击者持续改进规避检测技术
  2. 跨平台攻击日益普遍(搜索广告+短信)
  3. 利用知名品牌和服务的可信度
  4. 攻击基础设施全球化分布(.com.br, .pt等)
  5. 攻击即服务模式降低犯罪门槛

防御方需要采取多层次防护策略,结合技术解决方案和用户教育,才能有效应对这些不断演变的威胁。

恶意广告与钓鱼攻击技术分析及防御指南 一、针对微软广告账户的恶意广告攻击分析 1.1 攻击概述 网络安全研究人员发现针对微软广告用户的恶意广告活动,攻击者通过伪造的谷歌广告将用户引导至钓鱼页面,窃取登录凭证。 1.2 攻击流程 攻击者在谷歌搜索中投放恶意广告 用户搜索"微软广告"等关键词时显示这些广告 用户点击后被重定向至钓鱼页面(ads.mcrosoftt[ . ]com) 钓鱼页面模仿微软合法页面(ads.microsoft[ . ]com) 窃取用户登录凭证和双因素认证(2FA)代码 1.3 技术特点 流量过滤技术 : 来自VPN的流量被重定向到虚假营销网站 使用Cloudflare验证挑战过滤机器人 反检测机制 : 直接访问最终登录页面会被重定向到YouTube视频 使用巴西托管服务(.com.br域名)规避检测 持久性 : 部分钓鱼基础设施可追溯至几年前 可能同时针对Meta等其他广告平台 二、短信钓鱼攻击技术分析 2.1 USPS钓鱼攻击概述 攻击者利用短信发送虚假USPS(美国邮政服务)通知,声称包裹投递失败,诱导用户点击恶意PDF附件。 2.2 攻击流程 受害者收到包含恶意PDF附件的短信 PDF中包含"点击更新"按钮 点击后跳转至USPS钓鱼网页 要求输入邮寄地址、电子邮件和电话号码 进一步窃取支付卡信息 2.3 技术特点 PDF混淆技术 : 不使用标准/URI标签嵌入可点击链接 使恶意URL能绕过终端安全解决方案检测 数据窃取机制 : 输入数据被加密后传输到攻击者服务器 规模与基础设施 : 已发现20个恶意PDF文件和630个钓鱼页面 表明是大规模有组织攻击 2.4 iMessage钓鱼变种 利用苹果iMessage传递钓鱼页面 通过要求用户回复"Y"或"1"来绕过iMessage安全措施 与中文威胁组织"Smishing Triad"技术相关 使用Darcula钓鱼即服务(PhaaS)工具包 三、防御措施建议 3.1 针对恶意广告攻击的防御 广告平台防护 : 实施严格的广告审核机制 对类似"微软广告"等关键词广告加强监控 建立快速下架机制 终端用户防护 : 仔细检查URL拼写(如mcrosoftt vs microsoft) 使用书签访问重要服务而非通过搜索 启用多因素认证(MFA) 安装信誉良好的安全软件 企业防护 : 对广告账户设置访问限制和审批流程 监控异常登录活动 对员工进行安全意识培训 3.2 针对短信钓鱼的防御 终端防护 : 不点击短信中的不明链接或附件 验证发送者身份 使用移动设备安全解决方案 技术防护 : 部署能检测混淆PDF的安全解决方案 实施URL过滤和信誉评级 启用短信钓鱼防护功能 组织防护 : 建立报告可疑信息的流程 定期更新安全策略应对新威胁 模拟钓鱼测试提高员工意识 四、总结与展望 当前网络威胁呈现以下趋势: 攻击者持续改进规避检测技术 跨平台攻击日益普遍(搜索广告+短信) 利用知名品牌和服务的可信度 攻击基础设施全球化分布(.com.br, .pt等) 攻击即服务模式降低犯罪门槛 防御方需要采取多层次防护策略,结合技术解决方案和用户教育,才能有效应对这些不断演变的威胁。