Estafa de publicitat malintencionada de Google Ads
Els investigadors de ciberseguretat han descobert una nova campanya de publicitat malintencionada dirigida a persones i empreses que s'anuncien a través de Google Ads. Aquest esquema inclou anuncis enganyosos que suplanten la identitat de Google Ads i atrauen les víctimes a trampes de pesca dissenyades per robar les seves credencials.
Taula de continguts
Apuntant a la presa de possessió del compte
L'objectiu principal dels atacants és segrestar tants comptes de Google Ads com sigui possible. En redirigir les víctimes a pàgines d'inici de sessió falses, roben credencials que es podrien reutilitzar per ampliar les seves campanyes. A més, aquests comptes malversats probablement es venguin en fòrums clandestins. Els informes de Reddit, Bluesky i els fòrums d'assistència de Google indiquen que aquesta activitat ha estat en curs des de, almenys, a mitjans de novembre de 2024.
Similituds amb les tàctiques del compte empresarial de Facebook
Les tàctiques utilitzades en aquesta campanya s'assemblen molt a les emprades en atacs anteriors dirigits a comptes comercials i de publicitat de Facebook. En aquests casos, els ciberdelinqüents van desplegar programari maliciós robador per obtenir accés no autoritzat i utilitzar els comptes segrestats per a campanyes publicitàries falses que van difondre encara més el programari maliciós.
Tàctiques d'explotació i redirecció de motors de cerca
Els actors de l'amenaça han dissenyat la seva campanya perquè aparegui quan els usuaris cerquin "Google Ads" al motor de cerca de Google. Si feu clic a aquests anuncis fraudulents, els usuaris es dirigeixen a llocs de pesca allotjats a Google Sites. A continuació, aquests llocs dirigeixen els visitants a pàgines externes de pesca que capturen les credencials d'inici de sessió i els codis d'autenticació de dos factors (2FA). Les dades recollides es transmeten a través de WebSocket a un servidor extern gestionat pels atacants.
Aprofitant les polítiques d'URL de Google Ads
Una estratègia clau que permet aquest atac és la política de Google Ads que permet que l'URL final (la pàgina de destinació després de fer clic en un anunci) sigui diferent de l'URL visible sempre que els dominis coincideixin. Aquesta bretxa permet als atacants allotjar pàgines de pesca intermediaris a Google Sites mentre mostren URL que semblen enllaços legítims de Google Ads.
Tècniques d'evasió avançades
Per evadir la detecció, els atacants utilitzen diverses tècniques, com ara empremtes dactilars, detecció anti-bot, encobriment, esquers inspirats en CAPTCHA i mètodes d'ofuscament que amaguen la veritable naturalesa de la seva infraestructura de pesca. Aquestes tàctiques els ajuden a eludir les mesures de seguretat i a evitar ser marcats per sistemes automatitzats.
Armament de comptes compromesos
Quan un compte està compromès, els atacants inicien sessió, afegeixen un nou administrador i exploten el pressupost publicitari de la víctima per executar Google Ads fraudulents. Això els permet ampliar encara més les seves operacions de pesca, creant un cicle on els comptes segrestats s'utilitzen per atraure encara més víctimes.
Possibles enllaços amb actors d'amenaça basats al Brasil
L'evidència suggereix que hi ha diverses persones o grups darrere d'aquestes campanyes. En particular, molts d'ells parlen portuguès i probablement operen fora del Brasil. La infraestructura de pesca utilitza dominis intermediaris amb el domini de primer nivell (TLD) .pt de Portugal, donant suport encara més aquesta hipòtesi.
Resposta de Google als anuncis fraudulents
Google ha reconegut aquestes campanyes malèvoles i està supervisant activament la seva xarxa publicitària per evitar-ne l'abús. L'empresa aplica mesures estrictes contra els anunciants enganyosos que intenten enganyar els usuaris sobre els seus negocis, productes o serveis.
Milers de milions d'anuncis eliminats per combatre les amenaces
Només el 2023, Google va eliminar més de 3.400 milions d'anuncis, va restringir més de 5.700 milions d'anuncis i va suspendre aproximadament 5,6 milions de comptes d'anunciants. D'aquests, 206,5 milions d'anuncis es van bloquejar explícitament per infringir la política de tergiversació de Google. Aquestes xifres posen de manifest la lluita en curs contra la publicitat fraudulenta i el compromís de Google de mantenir la integritat dels anuncis.
