慢雾安全团队联合Rabby Wallet团队揭露谷歌虚假广告钓鱼攻击
近日,慢雾安全团队与Rabby Wallet团队共同揭露了一种利用Google广告进行钓鱼的新攻击手法。该攻击手法利用了Google的广告系统漏洞,通过虚假广告链接将用户引导至钓鱼网站,从而窃取用户个人信息和资金。
谷歌虚假广告钓鱼,钓鱼团伙为何跳转至官方地址?
根据慢雾安全团队的调查,该钓鱼广告链接在显示为Rabby Wallet官方网站地址 https://rabby.io 的同时,实际上却跳转到了钓鱼地址。这一行为引发了安全团队的疑问:难道钓鱼团伙为了推广自己的虚假钱包,竟然购买广告推广真正的钱包?
302跳转,钓鱼团伙利用Google Firebase短链接服务欺骗用户
经过深入分析,慢雾安全团队发现,该钓鱼广告的链接会经过多次302跳转。首先,链接会跳转到钓鱼地址 https://rabby.iopost.ivsquarestudio.com,然后根据请求的来源,可能跳转到Rabby Wallet的官方网站地址 https://rabby.io 或其他钓鱼地址。
钓鱼团伙利用Google Firebase短链接服务,绕过谷歌广告审核
钓鱼团伙利用了Google Firebase短链接服务的302跳转功能,将虚假广告链接与Google自家的域名page.link绑定,从而绕过了谷歌的广告审核。在广告投放一段时间后,钓鱼团伙会修改重定向到钓鱼网址,进一步欺骗用户。
钓鱼团伙使用俄语制作木马,用户需提高警惕
慢雾安全团队在分析钓鱼网页源代码时发现,攻击者使用俄语制作木马程序。该木马程序在下载桌面版本时进行客户端校验,如果检查到当前环境为Mac电脑,则会跳转到下载地址。该木马程序体积小巧,只有1.1MB,但已被多个杀毒引擎识别为木马后门程序。
提醒用户:认准官方地址,警惕虚假广告
慢雾安全团队提醒广大用户,在点击网站链接前要保留一份怀疑,认准Rabby钱包官方地址 https://rabby.io,不可相信任何搜索结果显示出来的广告投放地址。如果不幸中招,请第一时间转移钱包资金,并对个人电脑进行全面的杀毒排查。
了解更多安全知识,共同打击网络诈骗
慢雾安全团队建议用户阅读其出品的《区块链黑暗森林自救手册》,了解更多的安全知识,共同打击网络诈骗。同时,用户可关注慢雾科技官网、慢雾区官网等渠道,获取最新的网络安全资讯。
Views: 0