使用 Google 广告将其恶意网站推至结果页面顶部是网络犯罪分子经常使用的伎俩。最新的例子是一个虚假的Homebrew网站,它使用信息窃取程序从毫无戒心的受害者那里窃取个人数据、浏览器历史记录、登录信息和银行数据。
由Ryan Chenkie在 X 上发现并由BleepingComputer报道,恶意 Google 广告甚至显示正确的 Homebrew URL“brew.sh”,因此在点击之前没有真正的方法来发现这个伎俩。
⚠️开发者们,安装Homebrew时请小心。
谷歌正在向一个 Homebrew 网站克隆提供赞助链接,该网站克隆具有针对恶意软件的 cURL 命令。该网站的 URL 与官方网站有一个字母不同。 pic.twitter.com/TTpWRfqGWo
—瑞安·陈基 (@ryanchenkie) 2025 年 1 月 18 日
对于任何点击的人,广告都会将他们重定向到托管在“brewe.sh”的网站克隆,并显示错误的 URL。根据 Google 的 Logan Kilpatrick 对 X 帖子的回复,该广告现已被删除——所以如果您正在阅读本文,无需担心。然而,Chenkie 和他的许多评论者对广告能够显示正确的 URL(尽管与链接的目标不匹配)的能力感到惊讶和困惑。
这种策略似乎被称为“URL 伪装”,谷歌告诉BleepingComputer之所以发生这种情况,是因为“威胁行为者通过同时创建数千个帐户,并使用文本操作和伪装来向审阅者和自动化系统显示普通访问者会看到的不同网站来逃避检测。看。”
显然,需要做大量的工作来欺骗谷歌这样做,这意味着这对谷歌来说可能是一个很难解决的问题。目前,该公司正在“扩大自动化系统和人工审核员的规模”,试图解决这个问题,这听起来肯定很昂贵。
这种 URL 伪装技术可能使网络犯罪分子更容易瞄准 Homebrew 等网站。作为一款适用于macOS和 Linux 的软件包管理系统,它的受众几乎肯定比普通在线购物者更有知识,并且可能不会被公然显示错误 URL 的广告所迷惑。
此活动中使用的信息窃取程序被安全研究人员JAMESWT识别为 AmosStealer(也称为 Atomic),它是专门为 macOS 系统设计的。该恶意软件使用 Swift 开发,可以在Intel 和 Apple Silicon 设备上运行,并以每月 1,000 美元的订阅价格出售给网络犯罪分子。
如果您担心此类恶意软件活动,您可以采取一些措施来确保安全。首先,除了在点击之前检查广告显示的网址外,现在最好在页面加载后检查页面的网址。请记住,只有一个角色需要有所不同,因此请确保您所做的不仅仅是看一眼。
另一种避免通过 Google 广告传播恶意软件的方法是停止点击 Google 广告。如果您搜索特定网站,正常版本将始终包含在下面的结果中,因此只需完全跳过广告即可避免麻烦。否则,如果您看到感兴趣的广告,请搜索其广告的公司或产品的名称,而不是直接点击该广告。
最后,如果这只是 Google 给您带来的众多烦恼之一,您可以随时考虑将 Google 踢到路边。如果您有兴趣尝试新事物,那么专注于改善隐私的搜索引擎(例如欧洲的DuckDuckGo或 Qwant)是可行的选择。