Google Ads淪為黑客散播惡意軟件新渠道，虛擬化也成規(guī)避安全偵測(cè)新利器

目前網(wǎng)上出現(xiàn)持續(xù)性濫用Google搜索廣告（Google Ads）以散播惡意軟件加載程序的惡意廣告攻擊（Malvertising）活動(dòng)，通過(guò)惡意軟件加載程序，攻擊者能利用KoiVM虛擬化技術(shù)，成功規(guī)避安全偵測(cè)并植入Formbook資料竊密程序。

長(zhǎng)久以來(lái)，誘使用戶(hù)執(zhí)行內(nèi)置微軟Office中的惡意宏，以自動(dòng)植入惡意軟件的攻擊手法，一直都是歷久彌新的黑客最?lèi)?ài)。直到去年，微軟終于看不下去日益泛濫的惡意宏攻擊，而決定凡是從網(wǎng)絡(luò)下載的文件，其內(nèi)置的宏一律加以封鎖。

畢竟惡意攻擊者也不是省油的燈，豈非會(huì)坐視使用已久的惡意宏攻擊被白白封鎖？于是紛紛轉(zhuǎn)而尋求其他惡意軟件傳播與感染的替代方案，其中，惡意廣告攻擊便是在這種刺激下應(yīng)運(yùn)而生的新攻擊手法。

講白了，該攻擊會(huì)投放不是會(huì)直接傳播惡意軟件，就是會(huì)引誘用戶(hù)下載惡意軟件的惡意廣告。但根據(jù)網(wǎng)安公司SentinelLabs的最新研究指出，最新惡意廣告攻擊還會(huì)利用虛擬化技術(shù)規(guī)避殺毒軟件的偵測(cè)。

具體而言，該攻擊會(huì)濫用Google搜索廣告來(lái)傳播統(tǒng)稱(chēng)為“MalVirt”的一系列惡意軟件加載程序，用戶(hù)一旦點(diǎn)開(kāi)帶有該惡意廣告的搜索結(jié)果后，就會(huì)觸發(fā)該惡意軟件加載程序，并隨即植入Formbook或XLoader等所謂竊密木馬程序，攻擊者隨后能堂而皇之地竊取用戶(hù)的密碼及其他敏感資訊。

為了確保攻擊的成功率，MalVirt惡意軟件加載程序特別通過(guò)KoiVM.net虛擬化技術(shù)，將自身程序代碼取代成只有虛擬化框架才能識(shí)別的虛擬程序代碼，進(jìn)而達(dá)到程序代碼混亂化并成功規(guī)避殺毒軟件偵測(cè)的效果及作用。

在SentinelLabs實(shí)際觀察到的惡意廣告攻擊活動(dòng)中，攻擊者會(huì)濫用Google搜索廣告，將惡意網(wǎng)站連接置頂于Google搜索結(jié)果首頁(yè)。該惡意廣告并假冒成Blender 3D正版軟件的廣告，其連接的惡意軟網(wǎng)站和該正版軟件網(wǎng)站幾乎一模一樣。

一旦用戶(hù)“誤上賊網(wǎng)”，會(huì)隨即觸發(fā)MalVirt，并加載Formbook或XLoader竊密木馬。所以用戶(hù)今后只要看到任何帶有的“廣告”標(biāo)簽的搜索結(jié)果，還是不點(diǎn)為妙。

（首圖來(lái)源：Original:GoogleVectorization:Wefk423,Public domain,via Wikimedia Commons）