BLU:谷歌搜索廣告釣魚已導致400萬美金被盜_Mirrored Google

最近幾周ScamSniffer陸續收到多個用戶被搜索廣告釣魚的案例，他們都無一不例外錯點了Google的搜索廣告從而進入到惡意網站，并在使用中過程簽署了惡意簽名，最終導致錢包里的資產丟失。

惡意廣告

通過搜索一些受害者使用的關鍵詞可以發現很多惡意廣告排在前面，大部分用戶可能對搜索廣告沒有概念就直接打開第一個了，然而這些都是假冒的惡意網站。

定向品牌

通過分析了部分關鍵詞，我們定位到了一些惡意的廣告和網站，如Zapper,Lido,Stargate,Defillama等。

Maitri Capital推出加密量化交易基金，擬募資2.5億美元:5月20日消息，英國資產管理公司 Maitri Capital 宣布推出加密量化交易基金 Maitri Cento Quant Fund，該基金的融資目標為 2.5 億美元，當前正在等待在英國金融行為監管局注冊。Maitri Capital 聯合創始人 Thomas Caddick 表示，Maitri Cento Quant Fund 是一個機構級的投資工具，將采用機器學習建立量化交易模型并將專注于 30 種最具流動性的加密貨幣交易對。[2023/5/20 15:15:34]

zapperwebapp-zapper.com,appfi-zapper.comlidolido.isstargatestargate-finances.onlinedefillamadefeilllama.com,defllllama.comorbiterfinanceorbitered.financeradiantradiantcapital.info

BitMEX創始人Arthur Hayes：更多銀行倒閉或致美聯儲重啟印鈔機:3月12日消息，BitMEX創始人Arthur Hayes針對美聯儲正考慮設立基金，以在更多銀行倒閉時為存款提供擔保一事發表評論稱：離印鈔機啟動越來越近。還記得2008年他們首先嘗試了問題資產救助計劃嗎?市場持續下跌，金融機構不斷破產。然后他們最終打開了印鈔機。我猜想這次可能會遵循類似的軌跡。讓我們看看火箭筒有多大。

此前彭博社報道，美國聯邦存款保險公司（FDIC）和美聯儲正在考慮設立一只基金，使監管機構能夠為硅谷銀行倒閉后陷入困境的銀行提供更多存款擔保。據知情人士透露，監管機構在與銀行業高管的談話中討論了這種新的特殊工具。他們希望建立這樣一個工具能夠安撫儲戶，并有助于遏制恐慌情緒。[2023/3/12 12:58:15]

惡意網站

Coinbase將上線Blur (BLUR):據官方推特，Coinbase宣布將上線Blur (BLUR)，并將這該代幣歸類為“實驗性資產”。如果滿足流動性條件，交易將于2月14日開始。如果建立了足夠的該資產供應，BLUR-USD交易對的交易將分階段開放。

注意：Coinbase僅在以太坊網絡（ERC-20 代幣）上支持上述代幣，不要通過其他網絡發送此資產，否則資金可能會丟失。

金色財經此前報道，NFT市場Blur宣布其原生代幣BLUR將于2月14日發布。[2023/2/14 12:05:24]

打開一個Zapper的惡意廣告，可以看到他試圖利用Permit簽名獲取我的$SUDO的授權。如果你安裝了ScamSniffer的插件，你會得到實時的風險提醒。

目前很多錢包對于這類簽名還沒有明確的風險提示，普通用戶很可能以為是普通的登陸簽名，順手就簽了。關于更多Permit的歷史可以看看這篇文章

Lightning Labs發布初始的Taro協議代碼:金色財經報道，Lightning Labs宣布了其新的Taro協議的初始代碼，該協議將允許用戶在比特幣區塊鏈和Lightning上發行和轉移資產。

Lightning Labs產品增長主管Michael Levin在一篇博客文章中寫道:“在與世界各地的比特幣和閃電開發人員交談時，我們聽說用戶希望使用穩定幣，就像他們在閃電網絡上使用比特幣一樣:即時結算、低費用、沒有金融中介的點對點交易。”

今年4月，該公司首次推出了基于taroot的協議Taro。Taproot是去年對比特幣代碼的更新。（the block）[2022/9/29 5:59:40]

惡意廣告主

通過分析這些惡意廣告信息，我們發現這些惡意廣告來自這些廣告主的投放:

美國10年期國債收益率觸及4.197%，為2008年6月以來最高:金色財經報道，美國10年期國債收益率觸及4.197%，為2008年6月以來最高；30年期國債收益率升至4.196%，為2011年8月以來最高水平。[2022/10/21 16:33:01]

來自烏克蘭的?ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?來自加拿大的TRACYANNMCLEISH繞過審核

通過分析這些惡意廣告，我們發現了一些有意思的用于繞過廣告審核的情況

參數區分

比如同樣的域名：

gclid參數訪問就展示惡意網站不帶就是賣AV接收器的正常頁面gclid是Google廣告用于追蹤點擊的參數，如果你點擊Google的搜索廣告結果，鏈接會追加上gclid。基于此就可以區分不同用戶來源展示不一樣的頁面。而谷歌在投放前審核階段看到的可能是正常的網頁，這樣一來就繞過了谷歌的廣告審核。了解更多

防止調試

同樣有些惡意廣告還存在反調試：

開發者工具:?禁用緩存開啟?→跳轉到正常網站直接打開→跳轉到惡意網站

對比分析我們發現他們是通過請求頭?cache-control?的差異來跳轉到不一樣的連接，在開發者工具開啟DisableCache后會導致請求頭有細微差異。除了開發者工具外，一些爬蟲可能也會開啟這個頭保證抓取到最新的內容，這樣一來就又是一種可以繞過一些Google的廣告機器審核的策略。

這些繞過的技巧也解釋了我們的看到的現象，這些鋪天蓋地的惡意廣告是通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被用戶看到，從而造成了嚴重的損失。

那么對于GoogleAds有什么改進辦法？

接入Web3Focus的惡意網站檢測引擎。持續監控投放前和投放后整個生命周期中的落地頁情況，及時發現中間動態切換或通過參數跳轉欺騙這種情況的發生。被盜預估

為了分析潛在的規模，我們從ScamSniffer的數據庫里找到了一些和這些惡意廣告網站關聯的鏈上地址。通過這些地址分析鏈上數據發現，一共大約$4.16m被盜，3k個受害者。大部分被盜發生在近期一個月左右。

數據詳情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

資金流向

通過分析幾個比較大的資金歸集地址，有些存進了SimpleSwap,Tornado.Cash。有些直接進了KuCoin,Binance等。

幾個較大的資金歸集地址：

0xe018b11f700857096b3b89ea34a0ef5133963370

0xdfe7c89ffb35803a61dbbf4932978812b8ba843d

0x4e1daa2805b3b4f4d155027d7549dc731134669a

0xe567e10d266bb0110b88b2e01ab06b60f7a143f3

0xae39cd591de9f3d73d2c5be67e72001711451341

廣告投入估算

根據一些廣告分析平臺，我們能了解到這些關鍵詞的單次點擊均價在?2左右。

鏈上受害者地址數量大約在3000，如果所有受害者都是通過搜索廣告點擊進來的，按40%的轉化率來算，那么點進來的用戶數大約在7500。

基于此我們根據CPC大致可以估算出廣告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15

總結

通過分析我們可以發現大部分的釣魚廣告的投放成本極低。而之所以我們能看到這些惡意廣告很大程度是因為這些廣告通過一些技術手段和偽裝，成功欺騙了Google廣告的審核，導致這些廣告最終被消費者看到，繼而對用戶造成了嚴重的損害。

希望各位用戶在使用搜索引擎的時候多加防范，主動屏蔽廣告區域的內容。同時也希望Google廣告加強對Web3惡意廣告的審查，保護用戶！

最后感謝?23pds@SlowMist,?@Tay,?bax1337@ConvexLabs,,?ZachXBT,?SunSec,??Teddy@Biteye?的Review!

Tags：GOOGLEBLUBLURSocialGoodMirrored Googleblur幣解鎖時間blur幣前景怎么樣

酷幣交易所