他们通过所谓的”恶意广告”活动，通过Google代理商开户投放付费广告的形式在 Google 上发布，将不知情的用户引导至恶意网站，利用他们的数据和信任。黑客和欺诈者又找到了新的花招。如网络安全公司 Sophos 所透露的，他们现在正通过付费将恶意网站以广告的形式置于搜索结果的顶部。这种做法被称为“恶意广告”，保证了其可见性，往往针对那些寻找热门下载，如软件应用的用户。

以前的活动将目标锁定在搜索 CCleaner, WinRAR, Notepad++, VLC, OBS, VirtualBox, Blender 3D 或 Capcut 的用户上。甚至，谷歌搜索 Adobe, Gimp, Slack, Tor 或 Thunderbird 可能都会带来麻烦，因为恶意广告可能会让计算机感染 Aurora Stealer, RedLine, Vidar, FormBook 等窃取器或木马病毒。有些情况下，搜索屏幕投影和流媒体应用 OBS 会在搜索结果的顶部出现多达五个恶意链接。最近的付费广告通常与 AI 有关，被伪装成 Midjourney 或 ChatGPT 等工具。

研究人员还在努力确定是什么导致了恶意广告的增加。一个可能的原因是微软最近的决定，该公司默认阻止了对不受信任的文档中的宏，这一举措可能鼓励网络罪犯去寻找其他的攻击手段。另一个可能的解释是，罪犯可能使用来自成熟市场的恶意广告服务。这些服务的供应增加，价格下降，可能是假广告激增的驱动因素。根据 Sophos 的说法，有几个卖家在出售已经被攻破的 Google Ads 账户。

恶意广告使得攻击者可以保持短的感染链，只需要四个步骤：
Google Ads 允许客户，包括威胁行为者，针对特定的用户，特别是地理位置，并根据系统语言，地区，搜索关键词等个性化推广活动。一个观察到的例子是在欧洲搜索关键词 TradingView。假广告引导至一个鼓励访问者下载软件的网站。然而，研究人员得到的并非合法应用程序，而是一个包含 MSI 安装程序的 ZIP 文件。该安装程序包含一个设计在后台与真正的 TradingView 软件一起运行的混淆 PowerShell 脚本。你猜这个脚本做了什么？它安装了一个银行木马病毒，并使用密码“putingod”进行解密。恶意广告依赖于 SEO 污染，这是网络罪犯用来将他们的恶意网站提升至搜索结果前列的一种流行技术。SEO 污染涉及欺骗搜索引擎，因为威胁行为者会在他们控制的网站上放置特定的关键词（无论是他们自己的还是他们已经破坏的网站），希望他们能被推到搜索结果的顶部。