黑客利用Google传播恶意软件，教你如何有效自保

一项新的基于浏览器的 恶意软件 活动出现，展示了攻击者如何利用像Google.com这样的受信任域名来绕过传统的杀毒防御。

来自c/side的安全研究人员的 报告 表示，这种方法微妙、条件触发，并且对用户和传统安全软件来说都很难检测。

它似乎源自一个合法的与OAuth相关的链接，但秘密执行一个恶意负载，完全访问用户的浏览器会话。

隐藏在明面上的恶意软件

攻击始于一个嵌入在被攻陷的Magento电子商务网站中的脚本，该脚本引用了一个看似无害的谷歌OAuth注销网址： https://accounts.google.com/o/oauth2/revoke。

然而，这个 URL 包含一个被篡改的回调参数，它使用 eval(atob(...)) 解码并运行一个模糊化的 JavaScript 负载。

使用谷歌的域名是欺骗的关键 - 因为脚本从一个可信的来源加载，大多数内容安全策略 (CSP) 和 DNS 过滤器毫无疑问地放行。

该脚本仅在特定条件下才会激活。如果浏览器看起来像是自动化的，或者 URL 包含“checkout”这个词，它会悄悄地建立一个与恶意服务器的 WebSocket 连接。这意味着它可以根据用户的操作量身定制恶意行为。

通过此通道发送的任何负载都是经过 base64 编码的，使用 JavaScript 的 Function 构造函数动态解码和执行。

攻击者可以借助这个设置实时在浏览器中远程运行代码。此外，影响这个攻击有效性的一个主要因素是它能够规避市场上许多最好的杀毒软件。

该脚本的逻辑高度混淆，仅在特定条件下才会激活，因此即使是最好的Android杀毒软件和静态恶意软件扫描器也不太可能检测到它。

它们不会检查、标记或阻止通过看似合法的OAuth流程传递的JavaScript代码。

基于DNS的过滤器或防火墙规则的保护效果也很有限，因为初始请求是发往Google的合法域名。

在企业环境中，即使一些最佳终端保护工具也可能难以检测到这种活动行为，如果它们过于依赖域名声誉或未能检查浏览器中的动态脚本执行。

虽然高级用户和网络安全团队可能会使用内容检查代理或行为分析工具来识别这些异常，但普通用户仍然很脆弱。

限制第三方脚本、分开用于金融交易的浏览器会话，以及对意外的网站行为保持警惕，都能在短期内帮助降低风险。