Pushpaganda 诈骗劫持 Google Discover 与 AI 生成新闻

执行摘要

一个复杂的广告欺诈活动被称为“Pushpaganda”，一直在利用谷歌的Discover推送和AI生成的内容传播欺骗性新闻故事，最终迫使用户启用恶意浏览器通知。根据Sekoia的研究，该操作在超过50个伪造新闻网站的网络中产生了超过10,000篇文章，针对数百万用户进行恐吓软件和金融诈骗。该活动代表了搜索引擎中毒（SEO）策略的重大演变，利用谷歌主要平台的信任和覆盖范围来启动欺诈。

技术分析

Pushpaganda操作遵循一个多阶段的技术流程，旨在最大化覆盖范围和用户欺骗。威胁行为者首先建立了一个欺诈性新闻网站网络，例如newscase[.]online和newsexplorer[.]online，这些网站旨在模仿合法新闻媒体。这些网站的内容包括使用AI大规模生成，专注于吸引点击的轰动性话题，如名人丑闻、技术泄露和自然灾害。

然后，这些AI生成的文章被优化用于搜索引擎，并且至关重要的是，被包含在谷歌的Discover推送中——这是一个个性化的内容流，呈现在谷歌首页和移动应用上。Sekoia的分析表明，该活动成功地将其恶意网站放入Discover，赋予它们巨大的、未经请求的可见性。当用户点击这些链接时，他们会看到一个伪造的“突发新闻”视频播放器和一个提示，敦促他们“点击允许观看视频”。授予此权限将用户订阅到来自恶意域名的持续浏览器通知。

一旦订阅，通知渠道就被武器化。用户被大量警报轰炸，这些警报将他们引导到错误地声称他们的设备被感染的恐吓软件页面，或引导到欺诈性投资计划和网络钓鱼网站。基础设施使用一系列重定向通过广告网络和流量分发系统（TDS）来掩盖最终诈骗目的地并分析受害者。

入侵指标

在源材料中未识别出任何入侵指标。

战术、技术与程序

该活动采用了一个清晰的技术序列：

1. 资源开发（T1583.008）： 使用通用名称（例如，newscase[.]online）建立超过50个欺诈性新闻域名的网络。
2. 生成AI生成内容（T1659）： 使用AI大规模生产令人信服的、轰动性的新闻文章，以吸引有机和平台驱动的流量。
3. 搜索引擎优化（SEO）中毒（T1608.005）： 优化AI内容以在搜索结果中排名，并且至关重要的是，有资格被包含在谷歌的Discover推送中。
4. 欺骗（T1657）： 使用假视频播放器和紧急提示，通过社会工程手段让用户启用浏览器通知。
5. 滥用通知（T1655）： 利用订阅的通知渠道直接向用户的桌面或移动设备提供恶意链接，绕过传统的网络导航。
6. 流量分发系统（TDS）使用： 实施重定向链以过滤流量，根据地理位置或设备类型将用户定向到定制的诈骗端点。

威胁行为者背景

Sekoia追踪这场活动背后的威胁行为者，并以“Pushpaganda”的名字命名。虽然没有提供对已知团体的具体归属，但该活动的主要目标是通过广告欺诈和诈骗联盟计划获得经济利益。运营的复杂性——结合AI内容生成、平台滥用和通知劫持——表明这是一个技术上有能力的团体，专注于大规模、自动化的欺诈而不是有针对性的入侵。在这种规模上使用AI进行内容创建是垃圾邮件和SEO中毒活动中威胁格局的一个显著演变。

缓解措施与建议

组织和个人用户可以采取几个步骤来减轻这种威胁。对于系统管理员和安全团队，建议在网络或DNS过滤层阻止已知的恶意域名，尽管该活动使用大量、不断演变的域名列表限制了静态阻止的有效性。用户意识培训至关重要，强调合法网站很少需要启用通知来查看基本内容。应指导用户拒绝不熟悉网站的提示通知，并定期审查和删除浏览器设置中的不需要的通知权限（通常在设置>隐私和安全>网站设置>通知下）。

对于像谷歌这样的平台提供商，这一事件强调了在Discover等算法推送中自动审查欺骗性实践内容的挑战。虽然源材料中没有详细说明具体的平台端缓解措施，但研究突出了欺诈者和推送算法之间持续的猫鼠游戏。