谷歌廣告藏了60個惡意鏈接，報稅季用戶點完電腦就鎖死

為什么每年4月15日前后，總有人的電腦突然黑屏彈出勒索信？

Huntress安全團隊最近抓到一個正在跑的攻擊鏈：黑客買下"W-2表格下載""W-9表格填寫"等關(guān)鍵詞的谷歌廣告位，把惡意頁面頂?shù)剿阉鹘Y(jié)果第一。用戶急著報稅，順手一點，后臺已經(jīng)鋪開一張精密的技術(shù)陷阱。

這套攻擊的陰險之處在于，它先讓你看不見危險，再讓你逃不掉。

用戶點擊廣告后，會被引導(dǎo)下載ScreenConnect——一款正經(jīng)的遠程桌面工具，但被黑客拿來當后門用。不過在運行這個工具之前，攻擊者會先塞進去一個內(nèi)核級驅(qū)動程序。這個驅(qū)動的唯一任務(wù)，就是把Windows Defender等安全軟件變成瞎子。

Huntress在客戶環(huán)境里已經(jīng)追蹤到超過60起活躍的ScreenConnect會話，全部關(guān)聯(lián)到同一波報稅季 campaign（營銷活動）。受害者覆蓋員工、自由職業(yè)者、承包商和小企業(yè)主，基本上是所有需要填稅表的人。

正方：谷歌廣告審核就是擺設(shè)，平臺該背鍋

批評者把矛頭指向谷歌的廣告審核機制。買"W-2"這種高敏感關(guān)鍵詞，落地頁卻托管著可執(zhí)行文件，這種組合在常理上就該觸發(fā)人工復(fù)核。

但實際情況是，黑客用上了常見的規(guī)避手法：廣告素材和落地頁內(nèi)容分離。廣告本身看起來人畜無害，指向一個看似正常的中間頁，真正的惡意載荷藏在幾層跳轉(zhuǎn)之后。等用戶到達最終頁面時，已經(jīng)脫離了谷歌的掃描視野。

更麻煩的是，ScreenConnect本身是合法軟件。攻擊者不需要偽造簽名或利用零日漏洞，他們只是借用了一個IT管理員每天都在用的工具。這種" living off the land"（離地生存）的手法，讓自動化檢測系統(tǒng)很難區(qū)分惡意使用和正常場景。

平臺方的辯護也很現(xiàn)實：每天處理數(shù)十億條廣告請求，不可能對每條都做深度行為分析。報稅季關(guān)鍵詞的競爭激烈，出價高、點擊率高的廣告自然上浮，黑客只是在利用這個商業(yè)邏輯。

反方：用戶習慣才是最大漏洞，安全軟件先失效

另一派觀點把焦點放在終端層面。為什么一個內(nèi)核驅(qū)動能輕易干掉Windows Defender？為什么用戶看到.exe文件就敢雙擊？

Huntress的分析顯示，攻擊者使用的驅(qū)動程序通過了微軟的驅(qū)動簽名驗證。這不是什么地下黑產(chǎn)工具，而是濫用了一個合法的第三方驅(qū)動，利用其內(nèi)置的功能來關(guān)閉安全進程。換句話說，攻擊者找到了一條被信任的路徑，繞過了Windows的安全架構(gòu)。

用戶端的問題更基礎(chǔ)。報稅截止日期制造的時間壓力，讓"先搞定再說"成為主導(dǎo)心態(tài)。搜索、點擊、下載、運行——這個鏈條里本有多個可以剎車的節(jié)點，但緊迫感把每個節(jié)點都壓縮成了本能反應(yīng)。

安全培訓行業(yè)有個老笑話：給用戶發(fā)釣魚測試郵件，標題寫"緊急：您的賬戶已被鎖定"，點擊率80%；改成"關(guān)于季度報告的會議安排"，點擊率降到5%。報稅季就是前者的放大版，而且受害者是真的有緊急事務(wù)要處理。

我的判斷：這是一場針對"信任鏈"的精準爆破

雙方都有道理，但都漏了一個關(guān)鍵點。這次攻擊的核心不是技術(shù)漏洞，也不是用戶愚蠢，而是對多層信任關(guān)系的系統(tǒng)性利用。

第一層信任是谷歌。用戶默認搜索結(jié)果靠前的鏈接更安全，這個假設(shè)在SEO（搜索引擎優(yōu)化）時代就已經(jīng)松動，但在付費廣告位上，這種信任殘余還在。黑客買的是"安全感溢價"。

第二層信任是微軟的驅(qū)動簽名。內(nèi)核級驅(qū)動能關(guān)閉安全軟件，這個設(shè)計本身是為了讓企業(yè)IT工具能管理終端。攻擊者只是借用了這個合法通道，把管理功能扭曲成攻擊功能。

第三層信任是ScreenConnect的品牌認知。這是一款在遠程支持領(lǐng)域有十年歷史的工具，很多中小企業(yè)管理員天天用它。用戶看到熟悉的安裝界面，警惕性自然下降。

這三層信任疊加，構(gòu)成了一個"看起來沒問題"的完整體驗。單獨看每個環(huán)節(jié)，都沒有明顯的紅旗；連起來，就是一條通往勒索軟件的高速公路。

Huntress沒有披露這波攻擊的具體勒索軟件家族，但提到了典型的后續(xù)行為：文件加密、贖金通知、數(shù)據(jù)竊取威脅。60個活躍會話只是被監(jiān)控到的數(shù)字，實際感染規(guī)模可能高出數(shù)倍。

防御建議方面，Huntress強調(diào)了兩點實操：一是給遠程訪問工具設(shè)置嚴格的會話監(jiān)控和異常告警，二是考慮在報稅季等高風險時段臨時限制非白名單驅(qū)動的加載。但這些措施對普通個人用戶幾乎不可行——他們既沒有IT團隊，也沒有權(quán)限去改內(nèi)核策略。

谷歌方面，目前尚未對這波特定攻擊發(fā)表公開回應(yīng)。歷史模式顯示，平臺方通常會在事件曝光后批量下架相關(guān)廣告賬戶，但攻擊者早已準備好下一批身份和支付渠道。

報稅季還有不到一個月結(jié)束。對黑客來說，這是每年一次的開窗期；對安全團隊來說，這是和人性弱點賽跑的固定賽程。問題是，明年4月，我們會不會看到同一套劇本換幾個關(guān)鍵詞再演一遍？