Google：搜尋引擎廣告被劫持傳播危險惡意軟體

已發現一種名為「Nitrogen」的危險新惡意軟體活動。它使用 Google 和 Bing 廣告更廣泛地部署惡意軟體和勒索軟體。

谷歌和必應是一項新活動的受害者，該活動旨在透過這兩個搜尋引擎上的廣告傳播惡意軟體。該惡意軟體的目標是獲得對企業網路的初始存取權限，從而允許駭客竊取數據，進行網路間諜活動並部署勒索軟體。

該活動主要針對北美的科技公司和非營利組織，偽裝成流行的軟體應用程序，例如 AnyDesk、Cisco AnyConnect VPN、TreeSize Free 和 WinSCP。當用戶在 Google 或 Bing 上搜尋這些應用程式時，他們看到廣告稱讚該軟體的優點，但實際上是誘餌。

另請閱讀–Google Chrome：快速卸載這些擴充功能，它們包含惡意軟體！

如果用戶點擊這些廣告，他們重定向到看起來很像合法軟體下載網站的虛假網站。他們在不知不覺中下載了受感染的 ISO 安裝程序，其中包含名為「msi.dll」的惡意 DLL 檔案。

這個惡意DLL被稱為“NitrogenInstaller”，負責安裝所承諾的應用程式以避免懷疑和惡意Python套件。然後，它在註冊表中建立一個執行金鑰，確保惡意軟體保留在受害者的系統上。

然後，惡意軟體的 Python 元件與威脅參與者的命令和控制伺服器建立通信，使其能夠控制受害者的系統。然後攻擊者可以執行各種惡意操作，例如遠端安裝資訊竊取軟體甚至勒索軟體。

駭客利用惡意軟體安裝勒索軟體

攻擊者的最終目標尚不完全清楚，但感染鍊錶明他們為勒索軟體部署準備受感染的系統。在這裡，最終損害自己設備的是受害者。在許多情況下，他們甚至忽略防毒程式的警告，認為它們是誤報，因為他們認為他們透過值得信賴的搜尋引擎造訪了該頁面。

有些網友堅信這些公司的過濾系統運作良好，不可能透過惡意活動，但一些駭客有時最終會發現科技巨頭控制中的漏洞。

這並不是谷歌廣告第一次被用來傳播惡意軟體，因為其他網路犯罪分子去年已經發起了類似的活動。Grammarly、MSI Afterburner 甚至 Slack 都成為了主題身分盜竊誘騙網路使用者安裝 IceID 和 Raccoon Stealer、著名的惡意軟體和資訊竊取者。

保持安全的最佳方法是始終保持警惕，即使是在 Google 和 Bing 上搜尋或點擊流行廣告網路中的廣告時也是如此。為了防止此類攻擊，建議用戶避免點擊搜尋引擎中突出顯示的結果當他們下載軟體時。最好直接到開發商的官方網站下載軟體。

如果谷歌的搜尋引擎仍然遭受某些惡意活動的困擾，由於 Play 商店的變化，這些在 Android 上很快就會變得越來越少。