Google Ads злонамерена измама
Изследователите на киберсигурността разкриха нова злонамерена рекламна кампания, насочена към физически лица и фирми, които рекламират чрез Google Ads. Тази схема включва измамни реклами, които се представят за самия Google Ads, примамвайки жертвите във фишинг капани, предназначени да откраднат идентификационните им данни.
Съдържание
Стремеж към поглъщане на акаунт
Основната цел на нападателите е да откраднат възможно най-много акаунти в Google Ads. Като пренасочват жертвите към фалшиви страници за вход, те крадат идентификационни данни, които могат да бъдат използвани повторно за разширяване на техните кампании. Освен това, тези злоупотребени акаунти вероятно се продават в подземни форуми. Докладите във форумите за поддръжка на Reddit, Bluesky и Google показват, че тази дейност продължава поне от средата на ноември 2024 г.
Прилики с тактиката за бизнес акаунт във Facebook
Тактиките, използвани в тази кампания, много наподобяват тези, използвани при минали атаки, насочени към бизнес и рекламни акаунти във Facebook. В тези случаи киберпрестъпниците са използвали злонамерен софтуер крадец, за да получат неоторизиран достъп и да използват отвлечените акаунти за фалшиви рекламни кампании, които допълнително разпространяват зловредния софтуер.
Експлоатация на търсачките и тактики за пренасочване
Актьорите на заплахата са проектирали кампанията си да се показва, когато потребителите търсят „Google Ads“ в търсачката на Google. Щракването върху тези измамни реклами води потребителите до фишинг сайтове, хоствани в Google Sites. След това тези сайтове насочват посетителите към външни фишинг страници, които улавят идентификационни данни за вход и кодове за двуфакторно удостоверяване (2FA). След това събраните данни се предават чрез WebSocket към външен сървър, управляван от нападателите.
Използване на правилата за URL адреси на Google Ads
Една ключова стратегия, позволяваща тази атака, е политиката на Google Ads, която позволява крайният URL адрес (целевата страница след кликване върху реклама) да е различен от показвания URL адрес, стига домейните да съвпадат. Тази вратичка позволява на нападателите да хостват междинни фишинг страници в Google Sites, докато показват URL адреси, които изглеждат като легитимни връзки към Google Ads.
Усъвършенствани техники за избягване
За да избегнат откриването, нападателите използват няколко техники, включително пръстови отпечатъци, откриване на анти-ботове, прикриване, вдъхновени от CAPTCHA примамки и методи на обфускация, които прикриват истинската природа на тяхната фишинг инфраструктура. Тези тактики им помагат да заобиколят мерките за сигурност и да избегнат маркирането от автоматизирани системи.
Въоръжаване на компрометирани акаунти
След като акаунтът е компрометиран, нападателите влизат, добавят нов администратор и използват рекламния бюджет на жертвата, за да пуснат измамни Google Ads. Това им позволява да разширят допълнително фишинг операциите си, създавайки цикъл, в който отвлечените акаунти се използват за привличане на още повече жертви.
Възможни връзки към базирани в Бразилия заплахи
Доказателствата сочат, че множество лица или групи стоят зад тези кампании. Трябва да се отбележи, че много от тях говорят португалски и вероятно работят от Бразилия. Фишинг инфраструктурата използва междинни домейни с португалския .pt домейн от първо ниво (TLD), което допълнително подкрепя тази хипотеза.
Отговорът на Google на измамните реклами
Google призна тези злонамерени кампании и активно наблюдава своята рекламна мрежа, за да предотврати злоупотреби. Компанията прилага строги мерки срещу измамни рекламодатели, които се опитват да заблудят потребителите относно техния бизнес, продукти или услуги.
Милиарди реклами премахнати за борба със заплахите
Само през 2023 г. Google премахна над 3,4 милиарда реклами, ограничи повече от 5,7 милиарда реклами и спря приблизително 5,6 милиона акаунта на рекламодатели. От тях 206,5 милиона реклами бяха изрично блокирани за нарушаване на правилата на Google за невярно представяне. Тези цифри подчертават продължаващата битка срещу измамната реклама и ангажимента на Google да поддържа целостта на рекламите.
