目前网上出现持续性滥用Google搜索广告（Google Ads）以散播恶意软件加载程序的恶意广告攻击（Malvertising）活动，通过恶意软件加载程序，攻击者能利用KoiVM虚拟化技术，成功规避安全侦测并植入Formbook资料窃密程序。

长久以来，诱使用户执行内置微软Office中的恶意宏，以自动植入恶意软件的攻击手法，一直都是历久弥新的黑客最爱。直到去年，微软终于看不下去日益泛滥的恶意宏攻击，而决定凡是从网络下载的文件，其内置的宏一律加以封锁。

毕竟恶意攻击者也不是省油的灯，岂非会坐视使用已久的恶意宏攻击被白白封锁？于是纷纷转而寻求其他恶意软件传播与感染的替代方案，其中，恶意广告攻击便是在这种刺激下应运而生的新攻击手法。

讲白了，该攻击会投放不是会直接传播恶意软件，就是会引诱用户下载恶意软件的恶意广告。但根据网安公司SentinelLabs的最新研究指出，最新恶意广告攻击还会利用虚拟化技术规避杀毒软件的侦测。

具体而言，该攻击会滥用Google搜索广告来传播统称为“MalVirt”的一系列恶意软件加载程序，用户一旦点开带有该恶意广告的搜索结果后，就会触发该恶意软件加载程序，并随即植入Formbook或XLoader等所谓窃密木马程序，攻击者随后能堂而皇之地窃取用户的密码及其他敏感资讯。

为了确保攻击的成功率，MalVirt恶意软件加载程序特别通过KoiVM.net虚拟化技术，将自身程序代码取代成只有虚拟化框架才能识别的虚拟程序代码，进而达到程序代码混乱化并成功规避杀毒软件侦测的效果及作用。

在SentinelLabs实际观察到的恶意广告攻击活动中，攻击者会滥用Google搜索广告，将恶意网站连接置顶于Google搜索结果首页。该恶意广告并假冒成Blender 3D正版软件的广告，其连接的恶意软网站和该正版软件网站几乎一模一样。

一旦用户“误上贼网”，会随即触发MalVirt，并加载Formbook或XLoader窃密木马。所以用户今后只要看到任何带有的“广告”标签的搜索结果，还是不点为妙。

（首图来源：Original:GoogleVectorization:Wefk423,Public domain,via Wikimedia Commons）