#安全资讯 有网友在谷歌搜索 Codex 被恶意广告欺骗，带毒版直接窃取 2 万美元的加密货币。钓鱼网站使用谷歌商家域名 (business [.] google [.] com) 投放仿冒 OpenAI 的钓鱼网站，引导用户打开终端粘贴命令安装 Codex，带毒版被安装后会监视剪贴板，网友转账时复制目标地址但被替换为黑客的钱包地址。查看详情：https://ourl.co/113317

使用谷歌搜索务必配合广告拦截扩展程序用来移除谷歌搜索顶部的 SEM 推广条目，因为谷歌对广告上线后的事后审查力度不够，恶意广告完全可以在谷歌上线广告后修改网页内容换成钓鱼网站，被这种广告钓鱼而出现财产损失的案例屡见不鲜，现在又有网友因为搜索 Codex 被谷歌广告欺骗，损失高达 2 万美元的加密货币。

使用谷歌商家网站进行投毒：

在本次案例中攻击者也同样使用谷歌提供的 https://business.google.com，这是谷歌为商家提供的地址用于商家管理品牌在谷歌搜索上的商家名片，想要使用这个地址门槛也非常低，而谷歌搜索广告也允许使用这个地址作为落地页投放广告。

很多攻击者喜欢使用 site.google.com 和 business.google.com 投放广告就是因为这些地址在搜索结果里显示谷歌域名因此更具有迷惑性，普通用户看到这类地址可能会轻信这是谷歌官方的网站所以就放心点击并按照页面指示的内容进行操作，然而本身以上两个网站都没有使用门槛。

黑客用来投毒带毒的 Codex 应用：

网友 @43A6 在谷歌搜索 Codex Download 关键词想要下载安装 Codex 应用，搜索结果置顶广告显示的就是基于 business.google.com 的钓鱼网站，这个钓鱼网站要求用户打开终端应用并执行安装命令，而这个安装命令部署的其实是恶意软件，恶意软件会监听剪切板并在用户尝试转账加密货币时，将用户复制的加密货币地址替换为黑客的地址。

网友因为没有仔细核对地址而损失 2 万美元的加密货币，损失的这些加密货币想要找回基本是不可能的，显然谷歌也不会向网友或其他受害者提供任何赔偿，目前还不清楚这个钓鱼网站已经坑害多少用户，而谷歌上的这类恶意广告非常多，可能每时每刻都有用户在被坑害。

所以使用谷歌搜索或其他搜索引擎时启用广告拦截扩展程序是必须的，这类扩展程序可以让搜索引擎界面保持简洁且自动拦截可能是钓鱼网站的广告，另外对用户来说绝对不要在终端里执行任何来历不明的命令，大部分软件不需要在终端或 Windows 10/11 运行中粘贴命令进行安装，所以看到这类引导复制命令操作的网站需要提高警惕。