2026-03-03 04:17:56 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档披露了一个名为1Campaign的恶意广告伪装平台，该平台利用伪装引擎向审核系统展示良性内容，向真实用户投放恶意页面，从而绕过GoogleAds审核。其具备高级访客过滤、地理位置定位及反机器人功能，拦截率高达99.4%。该案例暴露了传统检测系统的缺陷，建议采用模拟真实人类行为的先进检测系统以应对此类威胁。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,网络安全,解决方案

cover_image

恶意广告利用新的广告系列平台漏洞绕过谷歌广告审核

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月27日 09:57 北京

一个名为 1Campaign 的复杂伪装平台，旨在帮助攻击者运行恶意 Google Ads 广告系列，同时逃避检测。

该服务充当恶意广告的全方位基础设施，过滤掉研究人员和自动扫描器，使钓鱼网站和加密货币窃取网站能够长时间在线。

1Campaign 由一位化名为 DuppyMeister 的开发者运营，已活跃三年多，并提供基于 Telegram 的客户支持。

该平台为攻击者提供了一个集成的仪表板，具有实时访客过滤、欺诈评分、地理位置和设备定位以及机器人防护脚本生成器，使其成为大规模广告滥用的一站式工具。

1Campaign 的核心功能是伪装引擎，它允许访问者根据自己的身份看到不同的网页内容。

Google 评论系统、品牌保护机器人和安全扫描器遇到的是无害的“白色”网页，而真正的用户却会收到恶意或钓鱼内容。

这种技术可以让欺诈性的谷歌广告系列通过初步审核，并在被下架之前保持更长时间的活跃状态。

但 1Campaign 的功能远不止于普通的伪装工具。该平台提供高级分析、访客追踪以及对已知云端 IP、VPN 流量和网络安全供应商基础设施的动态屏蔽。

根据 Varonis 的研究发现，运营商可以使用此集成工具，通过任何文本或关键词来制作广告，从而有效地绕过 Google Ads 政策的执行。

运营商可以微调访问规则，以确保只有真正的受害者才能访问钓鱼网站。

研究人员分析的屏幕截图显示，一个名为“Blockbyblockchain”的活动处理了 1,676 位访问者，但只允许 10 位访问者访问恶意网站，拦截率高达 99.4%。

系统会根据 IP 信誉、ISP 所有权、地理位置和行为信号，为每位访客分配一个欺诈评分（0-100）。来自微软、谷歌、OVH 和腾讯的流量会被自动标记并排除。

目标定位和交通控制

1Campaign 使攻击者能够按地理位置和设备类型定位用户。活动分析观察到来自美国、荷兰、加拿大、中国、德国和法国的流量，攻击者能够优先攻击与其钓鱼内容相关的特定地区。

这种地理过滤还有助于避开研究人员经常活动的区域，从而延长研究活动的持续时间。

该系统的设备分类功能允许选择性地向移动用户或桌面用户投放广告，这与通过智能手机广告投放的网络钓鱼攻击数量不断增加的情况相符。

1Campaign 中的一个独立模块可以帮助攻击者发起“白色”（良性）和“黑色”（恶意）Google Ads 广告系列。

此功能可直接实现品牌冒充和大规模广告欺诈，使攻击者能够模仿受信任的组织，同时将用户引导至旨在窃取凭证或窃取加密货币的虚假网站。

1Campaign 反映了网络钓鱼即服务生态系统的不断发展演变。Varonis 发现的类似工具，例如 Spiderman 和 FishXProxy，都使用 IP 允许列表、地理位置封锁和 CDN 来逃避检测，但 1Campaign 的独特之处在于它专门针对 Google Ads 滥用行为。

将网络钓鱼防护和广告欺诈自动化相结合，标志着攻击复杂性的显著提升。

影响

像 1Campaign 这样的平台暴露了传统网络钓鱼检测系统的一个核心缺陷。自动化URL 扫描器和品牌监控工具现在通常会在检测到任何恶意代码之前就被检测和过滤掉。

该平台 99% 的拦截率表明攻击者能够多么有效地将真正的用户与防御者的视线隔离开来。

为了应对这种情况，分析人员需要更先进的检测系统，这些系统能够模拟真实的人类行为。Varonis重点介绍了其Interceptor工具，该工具通过表单、验证码和重定向来跟踪用户交互，从而揭示传统扫描器遗漏的信息。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿网络安全9527 网络安全9527《恶意广告利用新的广告系列平台漏洞绕过谷歌广告审核》