Pushpaganda 活动利用 Google Discover 劫持浏览器通知

执行摘要

一个被追踪为Pushpaganda的威胁活动正在积极利用谷歌的Discover推送来分发AI生成的点击诱饵文章，操纵用户启用恶意浏览器推送通知。根据首次记录该操作的Guardio Labs的研究人员称，攻击者利用谷歌算法呈现的内容的高可见性和感知合法性，建立一个持久的欺诈通信渠道，直接到达受害者的桌面和移动设备。一旦用户订阅，威胁行为者就会传送一系列网络钓鱼页面、技术支持诈骗和欺骗性广告。

技术分析

该活动的技术执行依赖于滥用用户对谷歌Discover推荐内容的信任，这是一个集成在Chrome新标签页和许多Android主屏幕中的个性化推送。威胁行为者创建了以名人新闻或假赠品等煽情话题为重点的低质量、AI生成的网站。然后通过付费搜索和社交媒体广告来推广这些网站，以获得初始流量，并且至关重要的是，被谷歌的Discover算法索引和推荐。

当用户点击一个Discover推荐的链接时，他们会进入一个页面，该页面会立即触发一个浏览器提示，允许通知。这个提示通常用社交工程伪装，比如假的“CAPTCHA验证”或者声称用户必须点击“允许”以证明他们不是机器人的消息。如果被允许，通知权限就会注册到由攻击者控制的恶意域名。这建立了一个直接的、绕过电子邮件过滤器、网站阻止和广告网络的通信渠道。然后攻击者推送包含链接到冒充合法服务的网络钓鱼站点、假防病毒警报或其他诈骗的通知。

Guardio的分析指出，基础设施使用多重重定向和混淆来隐藏最终的通知发送域名。推送通知的内容是动态更新的，允许攻击者根据当前事件或感知效果迅速转向新的诈骗。

入侵指标

目前没有识别出任何指标。该活动使用短暂的域名和基础设施，使得静态IOC的价值有限。组织和用户应该监控Chrome或其他浏览器中未经授权的推送通知订阅，特别是来自不熟悉或最近访问的低质量新闻或博客站点。

战术、技术与程序

Pushpaganda行动采用了多阶段技术，融合了搜索引擎优化（SEO）、恶意广告和社交工程。

1. 初始访问 (T1583.001): 获取并部署伪造或AI生成的内容网站。
2. 路过式妥协 (T1189): 使用付费广告和操纵谷歌Discover来将流量引导至恶意站点。
3. 用户执行 (T1204): 欺骗用户通过假CAPTCHA或验证方案与浏览器提示互动。
4. 滥用提升控制机制 (T1548): 利用浏览器的通知API在用户的设备上获得持久存在。
5. 网络钓鱼 (T1566): 使用授予的通知渠道直接向用户的桌面或通知中心发送链接到网络钓鱼和诈骗站点。

威胁行为者背景

研究人员将这一正在进行的活动归因于他们命名为Pushpaganda的单一威胁行动。主要动机似乎是财务，利用联盟欺诈和网络钓鱼计划。操作安全被认为是中等的，行为者展示了对网络流量获取和浏览器API滥用的理解。目前没有明显的联系到已知的高级持续性威胁（APT）组织；战术与财务动机的网络犯罪一致。该活动特别关注以英语为母语的美国、英国、加拿大、澳大利亚和新西兰用户。

缓解措施与建议

用户和管理员应该采取措施限制通知滥用的影响。

• 审查和撤销权限： 定期审计并移除浏览器设置中不必要的通知权限（chrome://settings/content/notifications）。
• 用户意识： 培训用户对任何立即要求通知权限的网站保持高度怀疑，特别是那些使用“人类验证”或CAPTCHA借口的网站。
• 阻止权限提示： 考虑使用浏览器扩展或企业策略自动阻止通知权限请求。
• 网络过滤： 部署可以阻止与推送通知滥用相关的已知恶意域名的网络过滤解决方案。
• 报告滥用： 用户可以直接通过谷歌Discover卡片底部的“报告滥用”链接或通过安全浏览向谷歌报告滥用站点。