威胁研究人员发现了一系列针对图形设计专业人士的持续恶意广告活动，这些活动使用 Google 搜索广告作为载体。
该活动至少从 2024 年 11 月 13 日开始活跃，利用两个专用 IP 地址 185.11.61[.]243 和 185.147.124[.]110 来托管恶意域。
从第一个 IP 地址 185.11.61[.]243 开始，在撰写本文时，有 109 个独特的域被映射到它，所有这些似乎都是为了这个图形设计/CAD 恶意广告活动。

Silent Push 与其研究合作伙伴合作，在过去一个月中追踪了至少十个不同的活动。这些恶意 Google Ads广告系列利用域名将毫无戒心的用户引导至有害下载，从而对企业环境和个人安全构成重大风险。
拆开活动包装
最初的域名 frecadsolutions[.]com 自 11 月初以来发起了恶意广告活动，其域名托管在 IP 地址 185.11.61[.]243 上。

该活动通过域名的细微变化（例如 frecadsolutions[.]cc）迅速扩大，并跨越多个听起来相似的域，例如 freecad-solutions[.]net 和 rhino3dsolutions[.]io。
据 Silent Push Research称，“2024 年 11 月 14 日，利用 frecadsolutions[.]cc 发起了一场恶意广告活动（请注意“ cc ”与“ com ”的 TLD 细微差别），该活动也在 185.11 上托管。自 2024 年 11 月 6 日起为 61[.]243。这利用了 Bitbucket 进行恶意下载，该下载通常是合法文件托管 地点。”

2024 年 12 月 9 日，onshape3d[.]org 发起了一场恶意广告活动，该活动从 2024 年 12 月 1 日至今一直在 185.147.124[.]110 上托管。
这些域在两个已识别的 IP 地址之间转移，表明单个威胁参与者的协调行动。这些域名经常使用 Bitbucket 等合法平台来托管恶意文件，利用可信名称加剧威胁。
尽管存在这些持续存在的威胁，但谷歌等主要参与者的反应似乎存在重大疏忽。
简单的调查技术，例如将托管 IP 地址跟踪回相似的域，即使是初级威胁分析师也可以完成的任务，但似乎被忽视了。这种缺乏行动凸显了迅速有效地解决恶意广告问题的挑战。
Silent Push 已采取主动措施，编制未来攻击指标 (IOFA) 源，重点关注恶意广告域和 IP。该源是企业用户的重要资源，提供数据以增强安全协议并检测潜在威胁。
恶意广告活动的持续存在凸显了网络威胁不断变化的形势，强调了采取强有力的调查和预防措施的必要性。
翻译自：cybersecuritynews、freebuf