谷歌：搜索引擎广告被劫持传播危险恶意软件

已发现一种名为“Nitrogen”的危险新恶意软件活动。它使用 Google 和 Bing 广告更广泛地部署恶意软件和勒索软件。

谷歌和必应是一项新活动的受害者，该活动旨在通过这两个搜索引擎上的广告传播恶意软件。该恶意软件的目标是获得对企业网络的初始访问权限，从而允许黑客窃取数据，进行网络间谍活动并部署勒索软件。

该活动主要针对北美的科技公司和非营利组织，伪装成流行的软件应用程序，例如 AnyDesk、Cisco AnyConnect VPN、TreeSize Free 和 WinSCP。当用户在 Google 或 Bing 上搜索这些应用程序时，他们看到广告称赞该软件的优点，但实际上是诱饵。

另请阅读–Google Chrome：快速卸载这些扩展程序，它们包含恶意软件！

谷歌广告是恶意软件的受害者

如果用户点击这些广告，他们重定向到看起来很像合法软件下载网站的虚假网站。他们在不知不觉中下载了受感染的 ISO 安装程序，其中包含名为“msi.dll”的恶意 DLL 文件。

这个恶意DLL被称为“NitrogenInstaller”，负责安装所承诺的应用程序以避免怀疑和恶意Python包。然后，它在注册表中创建一个执行密钥，确保恶意软件保留在受害者的系统上。

然后，恶意软件的 Python 组件与威胁参与者的命令和控制服务器建立通信，使其能够控制受害者的系统。然后攻击者可以执行各种恶意操作，例如远程安装信息窃取软件甚至勒索软件。

黑客利用恶意软件安装勒索软件

攻击者的最终目标尚不完全清楚，但感染链表明他们为勒索软件部署准备受感染的系统。在这里，最终损害自己设备的是受害者。在许多情况下，他们甚至忽略防病毒程序的警告，认为它们是误报，因为他们认为他们通过值得信赖的搜索引擎访问了该页面。

一些网民坚信这些公司的过滤系统运作良好，不可能通过恶意活动，但一些黑客有时最终会发现科技巨头控制中的漏洞。

这并不是谷歌广告第一次被用来传播恶意软件，因为其他网络犯罪分子去年已经发起了类似的活动。Grammarly、MSI Afterburner 甚至 Slack 都成为了主题身份盗窃诱骗互联网用户安装 IceID 和 Raccoon Stealer、著名的恶意软件和信息窃取者。

保持安全的最佳方法是始终保持警惕，即使是在 Google 和 Bing 上搜索或点击流行广告网络中的广告时也是如此。为了防止此类攻击，建议用户避免点击搜索引擎中突出显示的结果当他们下载软件时。最好直接到开发商的官方网站下载软件。

如果谷歌的搜索引擎仍然遭受某些恶意活动的困扰，由于 Play 商店的变化，这些在 Android 上很快就会变得越来越少。