□ 구글 애즈(Google Ads) 검색 광고
구글 애즈 검색 광고는 구글 검색 시 사용된 검색 키워드와 연관된 광고를 검색 결과에 노출시키고 사용자가 이를 클릭하여 웹사이트를 방문하도록 유도하는 광고 서비스이다.
구글 애즈 검색 광고에 의해 노출된 웹사이트는 일반적인 검색 결과와 달리 광고 표시가 마킹된다. 키워드와 연관된 공식 홈페이지가 상단에 광고로 노출되는 사례도 많기 때문에 사용자는 검색 결과 상단에 노출된 광고를 클릭하여 공식 홈페이지를 방문하기도 한다.
[그림 1] 구글 검색 시 키워드와 연관된 광고 노출 (구글 애즈 검색 광고 예시)
□ 구글 애즈(Google Ads) 검색 광고를 통한 악성코드 유포 캠페인
최근 이러한 구글 애즈(Google Ads) 검색 광고를 통해 인포스틸러 및 암호화폐 채굴 등 다양한 악성코드를 유포하는 캠페인이 발견되었다. 보안업체 Guardio는 이 공격 캠페인을 ‘MasquerAds’ 로 명명하였으며, 확인된 악성코드 유포 과정은 다음과 같다.
[그림 2] 구글 애즈(Google Ads) 검색 광고를 통한 악성코드 유포 (출처 : labs.guard.io)
(1) 공격자는 정상 홈페이지의 도메인과 유사한 도메인의 웹사이트를 제작한 뒤, 구글 애즈 검색 광고를 통해 특정 키워드의 검색 결과 광고로 노출 시킨다. 해당 캠페인에서는 AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack, Zoom 등 인기 소프트웨어에 해당하는 키워드가 타겟이 되었다. [그림 3]은 ‘anydesk download’ 키워드로 검색 시 노출되는 anydesk 홈페이지로 위장한 악성 광고 웹사이트이다.
[그림 3] anydesk 홈페이지로 위장한 악성 광고 웹사이트 (출처 : 트위터 @malware_traffic)
(2) 사용자가 해당 광고를 클릭하면 웹사이트 접속 URL에 파라미터로 gclid의 값이 전달된다. gclid는 구글 클릭 식별자로써, 광고와 연결된 클릭의 속성 등을 식별하기 위해 광고 클릭과 함께 URL에 전달되는 매개변수이다.
[그림 4] 광고 웹사이트 클릭 시 gclid 파리미터 전달 예시
공격자는 웹사이트로 전달된 gclid 값과 User-Agent, 지리적 위치 등을 검증하여 공격 대상 타겟인지 식별한다. 만약 봇이나 크롤러와 같이 공격 타겟이 아닌 경우, 무해한 사이트를 표시하고, 공격 타겟인 경우에는 피싱 페이지로 리다이렉션한다.
(3) [그림 5]는 공격 타겟인 경우 노출되는 피싱 페이지이며, 정상적인 소프트웨어로 위장한 악성코드 다운로드를 유도한다. 악성코드 다운로드 출처는 주로 BitBucket, GitHub, Dropbox, OneDrive 등 알려진 파일 공유 서비스 및 코드 저장소로 확인된다.
[그림 5] 공격 타겟인 경우 노출되는 피싱 페이지 (출처 : 트위터 @malware_traffic)
현재 해당 캠페인은 주로 미국 및 캐나다를 타겟으로 하는 것으로 보이지만, 타겟은 얼마든지 변화할 수 있으며 새로운 공격 캠페인이 등장할 수 있다.
따라서, 사용자들은 방문하는 사이트의 도메인 철자가 올바른지 확인하여야하며 파일 다운로드는 반드시 공식 사이트를 이용하도록 해야한다.
□ 참고 자료
https://thehackernews.com/2022/12/new-malvertising-campaign-via-google.html
보안관제센터 MIR Team