WISE数字营销发现了一个恶意广告活动，该活动利用 Google Ads 将用户重定向到 Windows 支持诈骗网站。Onetrust – 隐私专业人士的终极 Cookie 手册
攻击者显示来自 Windows Defender 的虚假警报，要求访问者在搜索某些热门关键字后联系 Microsoft 支持代理。Malwarebytes将这次活动描述为壮观，因为它利用了一种典型的浏览行为，即按名称搜索网站，而不是在浏览器的地址栏上键入 URL。例如，当有人打算观看 youtube 视频时，他们会搜索“youtube”，而不是在浏览器的地址栏上输入“youtube.com”。威胁行为者利用这种行为并显示符合用户期望的真实广告，但将它们重定向到恶意网站。

Malwarebytes：恶意广告骗局的例子
Google Ads 恶意广告活动使用伪装技术进行技术支持欺诈
威胁参与者根据用户的 UserAgent 和 IP 信息将用户重定向到不同的内容。Onetrust – 隐私专业人士的终极 Cookie 手册
他们检查浏览器字符串和 IP 地址的有效性，以确定目标的合法性，并规避网络爬虫、机器人和 VPN 用户。这种策略允许诈骗者提交合法内容以供审查，但将不同的内容加载给实际用户。谷歌认为这种行为违反了“谷歌网站管理员指南”。如果诈骗者确定访问者是真实的人，他们会将他们重定向到具有技术支持诈骗的页面。否则，他们会将它们重定向到合法内容。他们在将目标登陆虚假支持页面之前多次重定向目标。

第一个重定向是一个伪装域，该域决定是否将访问者重定向到恶意 Windows 支持诈骗页面或合法内容。在目标获取时，第二个重定向是到浏览器储物柜，该储物柜从一次性 CloudFront URL 加载 iframe 上的恶意内容。Malwarebytes 警告说，删除单个 URL 不会破坏恶意广告活动。iframe 占据页面 100% 的宽度和高度，并显示来自 Windows Defender 的安全警报。iframe 还隐藏了可疑的 URL，因此用户只能看到更常见的“.com”域。除了重定向和伪装机制之外，恶意广告活动还带有典型的 Windows 支持骗局的特征。用户拨打恶意网站上列出的支持号码后，会连接到海外技术支持中心。恶意广告活动背后的威胁参与者要求他们的目标下载远程管理工具，例如 TeamViewer。

Windows 支持骗局影响了许多互联网用户
WISE数字营销预测，Windows 支持诈骗恶意广告活动已经影响了许多互联网用户。这家网络安全公司的评估基于流行关键字和拼写错误的使用情况。Windows 支持诈骗恶意广告活动针对亚马逊、Facebook、沃尔玛和 YouTube 等热门网站，每天有数百万人搜索。鉴于平均每天有 56 亿次 Google 搜索，Google Ads Windows 支持诈骗恶意广告活动可能已经达到极限。

此外，研究人员可以多次重播恶意广告链，这在此类活动中通常是不可能的。同样，恶意广告活动中显示的 Google Ads 过于现实，不会引起任何怀疑。它们还显示正确的 URL 和用户期望从他们打算访问的网站中获得的典型元素。

Google Ads 的战略布局使用户更有可能点击它们，而不是向下滚动查看直接链接。一些 Google Ads 出现在合法网站之前。

WISE数字营销认为，大多数用户点击第一个搜索结果，无论是付费推广还是自然搜索。Windows 支持#scam #malvertising 活动以流行关键字和拼写错误为目标，以显示与用户预期搜索结果相匹配的恶意#GoogleAds。