Google Ads淪為黑客散播惡意軟件新渠道，虛擬化也成規(guī)避安全偵測新利器

目前網(wǎng)上出現(xiàn)持續(xù)性濫用Google搜索廣告（Google Ads）以散播惡意軟件加載程序的惡意廣告攻擊（Malvertising）活動，通過惡意軟件加載程序，攻擊者能利用KoiVM虛擬化技術，成功規(guī)避安全偵測并植入Formbook資料竊密程序。

長久以來，誘使用戶執(zhí)行內置微軟Office中的惡意宏，以自動植入惡意軟件的攻擊手法，一直都是歷久彌新的黑客最愛。直到去年，微軟終于看不下去日益泛濫的惡意宏攻擊，而決定凡是從網(wǎng)絡下載的文件，其內置的宏一律加以封鎖。

畢竟惡意攻擊者也不是省油的燈，豈非會坐視使用已久的惡意宏攻擊被白白封鎖？于是紛紛轉而尋求其他惡意軟件傳播與感染的替代方案，其中，惡意廣告攻擊便是在這種刺激下應運而生的新攻擊手法。

講白了，該攻擊會投放不是會直接傳播惡意軟件，就是會引誘用戶下載惡意軟件的惡意廣告。但根據(jù)網(wǎng)安公司SentinelLabs的最新研究指出，最新惡意廣告攻擊還會利用虛擬化技術規(guī)避殺毒軟件的偵測。

具體而言，該攻擊會濫用Google搜索廣告來傳播統(tǒng)稱為“MalVirt”的一系列惡意軟件加載程序，用戶一旦點開帶有該惡意廣告的搜索結果后，就會觸發(fā)該惡意軟件加載程序，并隨即植入Formbook或XLoader等所謂竊密木馬程序，攻擊者隨后能堂而皇之地竊取用戶的密碼及其他敏感資訊。

為了確保攻擊的成功率，MalVirt惡意軟件加載程序特別通過KoiVM.net虛擬化技術，將自身程序代碼取代成只有虛擬化框架才能識別的虛擬程序代碼，進而達到程序代碼混亂化并成功規(guī)避殺毒軟件偵測的效果及作用。

在SentinelLabs實際觀察到的惡意廣告攻擊活動中，攻擊者會濫用Google搜索廣告，將惡意網(wǎng)站連接置頂于Google搜索結果首頁。該惡意廣告并假冒成Blender 3D正版軟件的廣告，其連接的惡意軟網(wǎng)站和該正版軟件網(wǎng)站幾乎一模一樣。

一旦用戶“誤上賊網(wǎng)”，會隨即觸發(fā)MalVirt，并加載Formbook或XLoader竊密木馬。所以用戶今后只要看到任何帶有的“廣告”標簽的搜索結果，還是不點為妙。

（首圖來源：Original:GoogleVectorization:Wefk423,Public domain,via Wikimedia Commons）