標題：惡意軟件的傳播激增

許多入侵和攻擊都是從終端被惡意軟件感染開始的。惡意軟件的傳播通常以誘騙某人打開一個可執行文件為手段，這些誘騙文件是良性的，例如一個常見的軟件實用程序，但實際上是惡意的。傳播惡意軟件最常見的方法之一是通過垃圾郵件，但還有其他方法，比如，一種長期使用的將惡意軟件植入系統的技術在去年年末重新出現。

“Malvertising”是惡意軟件和廣告的合成詞，其技術包括購買搜索引擎廣告，並在這些廣告中放置指向惡意網站的鏈接。自從與搜索相關的點擊付費(PPC)廣告出現以來，這種技術就一直被攻擊者使用，但最近不知出於什麼原因，這種技術被使用的頻率和數量出乎意料。接下來，我們將介紹惡意廣告是如何運作的，針對它的一些防禦措施，以及最近如何利用它來分發惡意軟件的例子。

PPC的工作原理谷歌的PPC廣告平台是攻擊者用來傳播惡意軟件的主要媒介。 Intel 471 曾詳細介紹過建立Google Ads活動的內容。這些文章介紹了很多關於這些攻擊者如何開展活動的信息，以及他們如何為自己的廣告獲得頂級搜索結果的一些理論。

谷歌的PPC廣告管理面板具有一個相當直觀的設計，允許用戶一目了然地查看他們的廣告活動統計數據。用戶可以查看他們當前的廣告、關鍵字、推薦、統計數據和每次優惠的總成本。用戶必須提供一個URL來創建廣告，顯示URL的路徑，提供優惠的描述，並為廣告製作一些標題。描述、標題和網站都被被納入谷歌用來計算廣告排名的公式中。

一旦創建了廣告，用戶可以設置廣告在PPC上花費的最大金額。廣告位的銷售採用了一種盲拍賣機制，廣告客戶可以出價高於競爭對手，但無法看到其他人對廣告位的出價。谷歌以前的廣告排名算法考慮的是廣告商為廣告植入排名的出價，然而，新系統綜合考慮了廣告出價、描述、標題和網站檢查。

一旦用戶創建了廣告並設定了投標價格，他們就可以開始使用Google Ads平台上的多種工具。通過設備定位，廣告商可以為只在平板電腦或手機等特定類型的設備上播放的廣告定價。

客戶可以在Google Ads面板的“受眾”選項卡中使用額外的目標定位。用戶可以監控點擊廣告的人的人口統計數據，創建有針對性的廣告，或排除某些人口統計數據，並針對特定類型的人，如在金融服務或酒店業工作的人。該平台還允許廣告商根據地理位置和受眾跟踪，或包括城市、州和郵政編碼在內的各種因素來定位客戶。

2023年1月26日谷歌PPC廣告平台的廣告客戶目標選項的截圖

BokBotBokBot，也被稱為IcedID，是一種銀行木馬，也可以下載其他惡意軟件。 BokBot的開發人員與Conti勒索軟件組織和Trickbot(另一種用於傳播勒索軟件的銀行惡意軟件和殭屍網絡)一直有關聯。在過去的一年中，最初的訪問代理（IAB）越來越多地使用BokBot作為網關惡意軟件進行攻擊，以取代現已失效的BazarLoader或Trickbot家族。 2022年12月和2023年1月，BokBot運營商開始嘗試使用谷歌PPC廣告平台進行分發。

這些BokBot活動的流量分配系統（TDS）在谷歌搜索廣告引擎指向的登錄頁面上使用受害者和木馬過濾。此過濾確保連接客戶端不是來自虛擬專用網絡（VPN）IP地址，使用戶代理檢查並遵循超文本傳輸協議(HTTP)'GET'標頭條件。如果連接不符合條件，用戶不會被重定向到BokBot惡意登陸頁面，而是停留在廣告網站上，而廣告網站可能與目標應用程序或品牌無關。該網站通常與活動無關。符合目標標準的連接將被重定向到BokBot惡意登陸頁面，並且永遠不會看到廣告站點。

最近的BokBot活動偽裝成操作系統虛擬化平台Docker的廣告。惡意廣告包含拼寫錯誤的域名，並且似乎高於Docker的合法報價。一旦用戶點擊廣告鏈接，BokBot的第一個URL劫持域就會執行一些基本的木馬過濾，以確定廣告的觀看者是否是目標的合法受害者，而不是研究人員。如果基於用戶代理、用戶代理客戶端提示或地理位置的檢查失敗，Docker活動的登錄頁面將引導查看者進入一個關於如何設置和使用Docker的虛假教程。

2023年1月26日，出現在合法Docker搜索結果和廣告之前的惡意Docker廣告截圖

BatLoader和EugenLoader/FakeBat惡意軟件加載器，也稱為“下載器（滴管）”，是系統上的初始感染，然後被攻擊者用來下載其他惡意代碼。 BatLoader於2022年2月被發現，是一種利用微軟軟件安裝程序(.msi)和PowerShell的加載器。

Intel 471最近發現，兩個不同的攻擊者正在通過不同的命令和控制(C2)基礎設施分發BatLoader。 Mandiant在2022年確定為BatLoader的活動涉及.MSI在安裝期間執行.BAT文件。然而，第二個活動不涉及.BAT文件的執行。相反，該惡意軟件有一個內嵌的PowerShell腳本，它會代替.BAT文件執行。由於這些差異，Intel 471分析師決定將第二次活動更名為EugenLoader，它也被稱為FakeBat。

由於之前的報告混合了EugenLoader和BatLoader，因此很難確定EugenLoaders何時首次出現。但它可能會在2022年11月或12月運行。在對EugenLoader的調查中，我們發現一個域名似乎被用作新活動的下載目的地。域的根目錄被錯誤地打開並顯示了EugenLoader活動的.MSI文件。如下圖所示，EugenLoader惡意軟件已被重命名為模擬已知軟件，如FileZilla、uTorrent和WinRAR等。

可疑EugenLoader活動的域的根目錄處於打開狀態

在分發活動中，EugenLoader建立了一些域名，聲稱提供合法的流行軟件，但其實這是惡意軟件。

EugenLoader最活躍的惡意廣告活動之一是偽裝成WinRAR，這是一種用於壓縮和提取文件的流行軟件實用程序。雖然其他廣告活動似乎間歇性地將其廣告放在搜索結果的頂部，但WinRAR廣告活動沒有這樣的限制，這使得攻擊者能夠欺騙受害者不斷安裝EugenLoader。

EugenLoader還通過欺騙7-Zip(另一種流行的文件歸檔軟件)的惡意廣告活動進行分發。使用精心製作的谷歌搜索廣告，該活動能夠將其下載鏈接放置在7-Zip官方下載頁面之前，如下圖所示。

有兩個PPC廣告提供7-Zip，但域名與官方項目無關

直到最近，惡意廣告還不是攻擊者首選的攻擊手段，與電子郵件垃圾郵件等傳統手段相比，它很少被使用。然而，EugenLoader背後的運營商能夠購買始終出現在谷歌第一搜索結果位置的廣告。惡意廣告技術有可能挑戰惡意軟件垃圾郵件(malspam)作為攻擊者首選載體的位置。

惡意軟件開發者投放惡意廣告有利有弊。首先，攻擊者可以通過廣告吸引尋找下載工具的用戶，出現在第一個搜索結果中意味著很有可能有人在沒有仔細查看域名的情況下點擊。隨後的登錄頁面看起來與合法登錄頁面完全相同，人們很可能會下載並安裝該工具。

這與垃圾郵件相比具有優勢，垃圾郵件可能會被安全工具捕獲並隔離，或者被發送到垃圾郵件文件夾，永遠不會被潛在受害者註意到。如果目標確實下載了它，攻擊者必須誘騙其打開，例如打開發票、點擊鏈接或運行可執行文件。但惡意廣告抓住了那些想下載並立即運行的人。

然而，惡意廣告的成本並不便宜。每次點擊點擊付費廣告的成本可能高達2至3美元。由於攻擊者不斷競標廣告位，這些行動也提高了合法廣告商的成本。有可能是惡意商家用偷來的信用卡信息來支付廣告費用。另外，攻擊者是如何為這些廣告買單的，這將是另一個值得研究的課題，它可能會挖掘出這些活動背後的團體。

在某些情況下，活動的成功與否可以衡量。一些惡意廣告將受害者引導到Bitbucket上的網站，這可能會顯示下載數量。其中一項活動的下載量超過3000次。按每次點擊2美元計算，投放廣告的人可能已經支付了多達6000美元，這表明攻擊者有經濟實力。在這些活動中發現的其他類型的惡意軟件包括RedLine等信息竊取軟件。惡意軟件經常阻礙VirusTotal提交。文件大小高達700 MB，這與滴管或加載器的典型大小相比非常大。 VirusTotal的文件大小限制為32 MB(最多可提交200 MB的文件)，這意味著由分發的惡意文件不一定會有分析示例。

總結惡意廣告激增，對谷歌影響最大，在2023年1月中旬達到頂峰，此後有所下降。安全社區已經就其調查結果與穀歌取得聯繫。幾位研究人員製作了一份電子表格，用於跟踪惡意廣告活動和被假冒的品牌。在2023年1月19日至2023年2月22日期間，該電子表格包含了584起惡意廣告活動的示例。此外，研究人員還開發了一些工具，比如Randy McEoin開發的這個工具，它可以搜索惡意廣告，Michael McDonnell開發的這個工具也可以對活動截圖留證。