黑客利用Google域名借合法URL绕过杀毒软件

网络安全领域近日曝光一种高度隐蔽的新型攻击手法：黑客正通过Google.com等受信任域名传播恶意软件，利用合法URL绕过传统防病毒系统，对用户浏览器发起“无声渗透”。安全研究人员警告，该攻击仅在特定条件下激活，尤其针对在线支付场景构成严重威胁。

攻击链揭秘：从合法URL到恶意操控
据安全团队C/side发布的报告，攻击始于被植入的恶意脚本，该脚本通常藏匿于受感染的Magento电子商务网站中。其核心伪装手法是引用一个看似无害的Google OAuth注销链接：
https://accounts.google.com/o/oauth2/revoke

然而，该URL通过被篡改的回调参数，暗中执行一段经过混淆处理的JavaScript代码。攻击者利用eval(atob(...))函数对代码进行解码和运行，从而在用户毫无察觉的情况下获取浏览器会话的完全控制权。

“条件触发”机制：瞄准在线支付场景
该恶意软件的狡猾之处在于其“按需激活”策略。研究显示，脚本仅在以下两种条件同时满足时才会启动攻击：

1. 浏览器自动化模式：检测到浏览器以自动化工具（如爬虫或脚本）运行；
2. URL包含“checkout”关键词：当用户进入电商结账页面时，脚本将通过WebSocket建立与恶意服务器的隐蔽通信通道。

通过这一通道，攻击者可实时向受害者浏览器注入任意代码，包括窃取支付信息、篡改交易数据或植入后门程序。由于整个过程完全静默，传统安全软件难以捕捉异常。

绕过防御：合法域名与动态执行的“免罪金牌”
此次攻击的最大挑战在于其规避检测的能力。由于脚本源自Google官方域名，绝大多数内容安全策略（CSP）和DNS过滤器均默认放行。此外，恶意负载采用动态解码和执行（如JavaScript的Function构造函数），使得静态扫描工具无法识别威胁。

研究人员测试发现，即使是主流Android防病毒软件和企业级端点保护平台，也因依赖域名信誉机制而未能拦截攻击。这种“合法外衣”与“动态行为”的结合，导致传统安全防护形同虚设。

防护建议：用户与企业需多管齐下
面对此类高隐蔽性攻击，专家提出以下应对措施：

1. 浏览器隔离：为金融交易使用专用浏览器或无痕模式，避免与日常浏览活动混用；
2. 脚本限制：通过浏览器插件（如uMatrix）严格控制第三方脚本执行；
3. 行为监控：部署基于AI的行为分析工具，检测异常WebSocket连接或加密流量；
4. 人工核验：在结账等关键操作前，手动检查URL参数及页面证书信息。

行业警示：数字信任遭遇新考验
此次事件再次凸显数字时代“信任危机”：攻击者正将合法基础设施武器化，利用用户对谷歌等品牌的天然信任实施渗透。随着电商、金融等行业的数字化加速，如何平衡便捷性与安全性，将成为未来网络安全的核心命题。

安全研究员表示：“这不仅是技术对抗，更是心理博弈。当攻击者开始伪装成你最熟悉的‘朋友’，防御的难度将呈指数级上升。”