最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例,他们都无一不例外错点了Google的搜索广告从而进入到恶意网站,并在使用中过程签署了恶意签名,最终导致钱包里的资产丢失。
恶意广告
通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面,大部分用户可能对搜索广告没有概念就直接打开第一个了,然而这些都是假冒的恶意网站。
定向品牌
区块链基金Zero Age Ventures已筹集1000万美元资金:5月25日消息,澳大利亚风投基金 Kosmos Ventures背后团队宣布推出新投资基金Zero Age Ventures,专注于区块链技术。Zero Age Ventures将继续管理Kosmos的新投资。在成功完成初始交易后,General Partners认捐了高达1000万 美元的自有资本,Zero Age Ventures将在2023年和2024年分配大量资金。
Kosmos最初成立于2017年,对Solana、 Algorand、Polkadot 和Fantom等协议进行了大量种子投资。[2023/5/25 10:40:15]
通过分析了部分关键词,我们定位到了一些恶意的广告和网站,如Zapper,Lido,Stargate,Defillama等。
zapperwebapp-zapper.com,appfi-zapper.comlidolido.isstargatestargate-finances.onlinedefillamadefeilllama.com,defllllama.comorbiterfinanceorbitered.financeradiantradiantcapital.info
巴菲特一季度大幅抛售股票,现金储备高达1306亿美元:金色财经报道,伯克希尔一季度出售了价值133亿美元的股票,而购买股票的金额仅有29亿。此外,伯克希尔回购自身股票用了44亿美元,回购旗下公司股票用了29亿美元。这些数据突显出,巴菲特和他的长期得力助手查理·芒格认为,当期的估值没有吸引力,伯克希尔哈撒韦公司在将其大量现金投入使用时所面临的困难。自今年年初以来,该公司的现金储备增加了20亿美元,达到1306亿美元,为2021年底以来的最高水平。芒格上个月告诉英国《金融时报》,随着美联储加息和经济放缓,投资者应该降低对股市回报的预期。[2023/5/6 14:47:12]
恶意网站
打开一个Zapper的恶意广告,可以看到他试图利用Permit签名获取我的$SUDO的授权。如果你安装了ScamSniffer的插件,你会得到实时的风险提醒。
上海黄浦:对元宇宙、区块链、AI等重点领域技术攻关项目给予资金支持:金色财经报道,上海市黄浦区科学技术委员会和黄浦区财政局发布《黄浦区关于加快推进数字产业发展的政策意见》,意见指出,支持数字产业集聚,营造产业创新生态。支持数字技术赋能,拓展数字场景应用。对获得工信部人工智能产业创新任务揭榜挂帅项目、上海市促进产业高质量发展专项资金等(信息化相关领域),按最高不超过1:1予以区级配套,最高不超过200万元。
对符合区数字产业发展导向,在人工智能、集成电路设计制造、元宇宙、软件与算法、量子计算、新一代网络、区块链等重点领域自主研发或联合产学研开展关键技术攻关,经评审,对具有先进性、创新性、突破性或颠覆性的项目,按不超过项目投资总额的30%给予一次性支持,最高不超过200万元。[2023/3/27 13:28:47]
目前很多钱包对于这类签名还没有明确的风险提示,普通用户很可能以为是普通的登陆签名,顺手就签了。关于更多Permit的历史可以看看这篇文章
恶意广告主
Gate.io计划集成数字资产托管公司Copper旗下ClearLoop网络:2月17日消息,加密交易所Gate.io正在与数字资产托管公司Copper合作,以全面集成其ClearLoop解决方案。此举将允许用户快速执行交易,同时保持对其资金的独立托管。(The Block)[2023/2/17 12:12:49]
通过分析这些恶意广告信息,我们发现这些恶意广告来自这些广告主的投放:
来自乌克兰的?ТОВАРИСТВОЗОБМЕЖЕНОЮВ?ДПОВ?ДА-ЛЬН?СТЮ?РОМУС-ПОЛ?ГРАФ?来自加拿大的TRACYANNMCLEISH绕过审核
通过分析这些恶意广告,我们发现了一些有意思的用于绕过广告审核的情况
参数区分
比如同样的域名:
Interlay推出无需信任的 BTC 稳定币桥interBTC,将在波卡生态启动:据官方消息,基于波卡生态的跨链互操作性网络Interlay在波卡生态上推出了首个完全无需信任的BTC稳定币桥 interBTC(代码:iBTC)。通过interBTC可在其他区块链上使用比特币进行DeFi、跨链转移、NFT等的安全交易。interBTC已经与波卡平行链项目Acala 和 Moonbeam集成,用户可以进行DeFi交易。继波卡生态之后,Interlay计划不久将在其他的DeFi网络中推出iBTC,包括以太坊、Cosmos、Solana 和 Avalanche。
Interlay于去年底完成650万美元融资,DFG领投,IOSG Ventures、KR1、Hypersphere、Nexo Finance、D1 Ventures和Signum Capita等参投。[2022/8/12 12:19:48]
gclid参数访问就展示恶意网站不带就是卖AV接收器的正常页面gclid是Google广告用于追踪点击的参数,如果你点击Google的搜索广告结果,链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页,这样一来就绕过了谷歌的广告审核。了解更多
防止调试
同样有些恶意广告还存在反调试:
开发者工具:?禁用缓存开启?→跳转到正常网站直接打开→跳转到恶意网站
对比分析我们发现他们是通过请求头?cache-control?的差异来跳转到不一样的连接,在开发者工具开启DisableCache后会导致请求头有细微差异。除了开发者工具外,一些爬虫可能也会开启这个头保证抓取到最新的内容,这样一来就又是一种可以绕过一些Google的广告机器审核的策略。
这些绕过的技巧也解释了我们的看到的现象,这些铺天盖地的恶意广告是通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被用户看到,从而造成了严重的损失。
那么对于GoogleAds有什么改进办法?
接入Web3Focus的恶意网站检测引擎。持续监控投放前和投放后整个生命周期中的落地页情况,及时发现中间动态切换或通过参数跳转这种情况的发生。被盗预估
为了分析潜在的规模,我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现,一共大约$4.16m被盗,3k个受害者。大部分被盗发生在近期一个月左右。
数据详情:https://dune.com/scamsniffer/google-search-ads-phishing-stats
资金流向
通过分析几个比较大的资金归集地址,有些存进了SimpleSwap,Tornado.Cash。有些直接进了KuCoin,Binance等。
几个较大的资金归集地址:
0xe018b11f700857096b3b89ea34a0ef5133963370
0xdfe7c89ffb35803a61dbbf4932978812b8ba843d
0x4e1daa2805b3b4f4d155027d7549dc731134669a
0xe567e10d266bb0110b88b2e01ab06b60f7a143f3
0xae39cd591de9f3d73d2c5be67e72001711451341
广告投入估算
根据一些广告分析平台,我们能了解到这些关键词的单次点击均价在?2左右。
链上受害者地址数量大约在3000,如果所有受害者都是通过搜索广告点击进来的,按40%的转化率来算,那么点进来的用户数大约在7500。
基于此我们根据CPC大致可以估算出广告的投放成本可能最多在$15k左右。那么可以估算ROI大概在276%=414/15
总结
通过分析我们可以发现大部分的钓鱼广告的投放成本极低。而之所以我们能看到这些恶意广告很大程度是因为这些广告通过一些技术手段和伪装,成功了Google广告的审核,导致这些广告最终被消费者看到,继而对用户造成了严重的损害。
希望各位用户在使用搜索引擎的时候多加防范,主动屏蔽广告区域的内容。同时也希望Google广告加强对Web3恶意广告的审查,保护用户!
最后感谢?23pds@SlowMist,?@Tay,?bax1337@ConvexLabs,,?ZachXBT,?SunSec,??Teddy@Biteye?的Review!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。