悪意のあるGoogle広告は、正規のDeFiアプリケーションとウォレットサービスを探している無防備なユーザーからウォレットをドレイン(資産を盗む)したりシードフレーズを収集したりして、暗号資産を盗むために益々利用されています。
SEALが追跡した最近のキャンペーンは、Googleの自動防御を積極的に回避しながら、小売ユーザーと暗号資産組織の両方を直接ターゲットにする、継続的で技術的に高度な操作を示しています。
わずか数週間で、SEALは356を超える悪意のある広告URLをブロックしており、攻撃者は古い広告が削除されるにつれて継続的に新しい広告とランディングページを展開していることを示しています。
Googleはシールの報告で特定されたすべての広告主アカウントを停止しましたが、影響を受けたユーザーは引き続き新しいインシデント報告を送信しており、より広いエコシステムの悪用がまだ管理されていないことを示しています。
SEALは、DeFiアプリケーション、ウォレット、その他の暗号資産サービスの偽のバージョンを宣伝するためにGoogle広告を悪用する複数の脅威アクターを追跡しており、2026年3月にアクティビティが急増し、1年以上にわたって一定のペースで継続しています。
これらのキャンペーンはクローキングとフィンガープリンティングに大きく依存してGoogleの自動レビューシステムをバイパスし、セキュリティ研究者を阻止し、悪意のあるコンテンツを慎重に選択された被害者にのみ提供し、他のユーザーを正規のドキュメンテーションやWikipediaなどの無害なページにリダイレクトしています。
信頼されたGoogleプロパティの悪用
攻撃者は一般的にsites.google.com、docs.google.com、business.google.comなどの高評判のGoogleプロパティを広告の「プライマリ」フレームとして悪用し、Google検索が正規プロジェクトと区別がつかないように見える説得力のあるURL、タイトル、説明、ロゴを表示するようにしています。
このような見せかけの背後には、悪意のあるペイロードがセカンダリiframeおよびプラットフォーム外のインフラストラクチャでホストされており、これは自動ポリシーチェックが無害なラッパーのみを検査し、実際の攻撃面を見逃すことがよくあります。
脅威アクターは、ハッキングされた広告主アカウント、および地下の犯罪市場で購入された認証済みアカウントを通じて広告スロットへのアクセスを取得し、Appleなどのビッグブランドアカウントへのアクセスが悪意のある暗号資産広告をプッシュするために悪用されていることを示すスクリーンショットとフォーラムログを含みます。
SEALはGoogle広告を悪用する複数のドレイナー・アズ・ア・サービスファミリーを追跡しており、Inferno DrainerとVanilla Drainerは現在のキャンペーン全体で最も一般的に観察されています。
これらのJavaScriptベースのドレイナーはユーザーを欺いて悪意のあるブロックチェーントランザクションにブラウザ内で署名させ、インターフェースは正常に機能しているように見えながら静かに資産の制御を攻撃者に移譲します。
その他のキャンペーンはLedgerなどのハードウェアウォレットサイトを複製してシードフレーズ盗難に焦点を当て、ユーザーに復旧フレーズの入力を促すか、シードフレーズとウォレットデータをキャプチャするように設計されたChrome Webストアリンク経由で悪意のあるブラウザ拡張機能を配布しています。
ドレイナー・アズ・ア・サービスオペレーターは通常、各成功した盗難の約20%と引き換えに難読化、自動化されたデプロイ、トランザクション生成インフラストラクチャを提供し、技術的スキルが低い脅威アクターが大規模なキャンペーンを立ち上げるのを容易にしています。
フロントエンドとプロキシアーキテクチャ
高度なキャンペーンは、検出を回避し、被害者との相互作用に対する制御を最大化するために、3層のウェブアーキテクチャを使用しています。
小さな「エントリドキュメント」はarweave.mainnet.irys.xyzなどのArweaveでバックアップされたドメインでホストされることが多く、ターゲットプロトコルのメタデータを完全に偽装しながら、ハードコードされた設定変数を介してすべてのアセットを*.workers.dev上のCloudflare Workersインスタンスにポイントしています。
複製されたフロントエンドは時々数メガバイトのサイズで、Uniswapなどのサイトのほぼピクセルパーフェクトなコピーをレンダリングし、CoinGeckoやTrust Walletなどの正規ソースからトークンイメージを読み込んで真正性を強化しています。
*.irys.xyzに保存されている難読化されたペイロードはランタイムコード構築と圧縮文字列に依存し、Vanilla Drainerのような洗練されたドレイナーファミリーと一貫性があり、中間者プロキシレイヤーはすべてのAPI、GraphQL、およびEthereum RPCトラフィックをthirdtemple.topなどの攻撃者が制御するドメイン経由で透過的にリルーティングしています。
これにより、オペレーターはウォレット残高とトランザクションを完全に可視化でき、被害者の資産に基づいてカスタマイズされた悪意のあるペイロードを注入でき、追加ロジックはキャッシュをワイプし、通常のブラウザ動作をシミュレートして検出を回避しています。
多くのキャンペーンは非常に自動化されています。URLがオープンソースブロックリストなどのディフェンスによってウォレットレベルでブロックされると、バックエンドは新しい広告クリエイティブとランディングページURLで迅速に再ローンチし、時には最終ペイロードを商用トラフィック配信システムを模倣した複数の連結iframeの背後に隠します。
この絶え間ない変動は、SEALのようなセキュリティベンダーが損害を制限できるが、広告プラットフォームに代わって悪用を完全に解決することができない、長期にわたるいたちごっこに貢献しています。
SEALは、暗号資産ユーザーおよび組織がGoogle検索を使用してウォレットまたはDeFiアプリケーションに到達することを避け、代わりに信頼できるブックマークと独立して検証されたURLのみを使用することを推奨しています。
ユーザーはDefiLlamaの検索ポータルなどの暗号資産固有のインデックスツールを通じてサービスをクロスチェックでき、特に広告を通じて到達したものなどのウェブフォームにシードフレーズ、秘密鍵、または復旧データを入力してはいけません。
翻訳元: https://gbhackers.com/google-ads-hit-crypto-users/
