Malvertisingový podvod v Google Ads
Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou kampaň zaměřenou na malovou reklamu zaměřenou na jednotlivce a firmy, které inzerují prostřednictvím Google Ads. Toto schéma zahrnuje klamavé reklamy, které se vydávají za samotnou Google Ads a lákají oběti do phishingových pastí, jejichž cílem je ukrást jejich přihlašovací údaje.
Obsah
Cílem je převzetí účtu
Hlavním cílem útočníků je unést co nejvíce účtů Google Ads. Přesměrováním obětí na falešné přihlašovací stránky kradou přihlašovací údaje, které by mohly být znovu použity k rozšíření jejich kampaní. Navíc jsou tyto zpronevěřené účty pravděpodobně prodávány na podzemních fórech. Zprávy na Reddit, Bluesky a fórech podpory Google naznačují, že tato aktivita probíhá minimálně od poloviny listopadu 2024.
Podobnosti s taktikou firemního účtu na Facebooku
Taktika použitá v této kampani se velmi podobá taktice použitým v minulých útocích zaměřených na obchodní a reklamní účty na Facebooku. V těchto případech kyberzločinci nasadili zlodějský malware, aby získali neoprávněný přístup a použili unesené účty pro falešné reklamní kampaně, které malware dále šíří.
Taktika zneužívání a přesměrování vyhledávačů
Aktéři hrozeb navrhli svou kampaň tak, aby se zobrazila, když uživatelé vyhledávají „Google Ads“ ve vyhledávači Google. Kliknutí na tyto podvodné reklamy vede uživatele na phishingové stránky hostované na Webech Google. Tyto stránky pak přesměrovávají návštěvníky na externí phishingové stránky, které získávají přihlašovací údaje a kódy dvoufaktorové autentizace (2FA). Shromážděná data jsou pak přenášena přes WebSocket na externí server spravovaný útočníky.
Využití zásad Google Ads pro adresy URL
Jednou z klíčových strategií umožňujících tento útok jsou zásady Google Ads, které povolují, aby se cílová URL (cílová stránka po kliknutí na reklamu) lišila od viditelné URL, pokud se domény shodují. Tato mezera umožňuje útočníkům hostovat na Webech Google zprostředkující phishingové stránky a přitom zobrazovat adresy URL, které se zdají být legitimními odkazy Google Ads.
Pokročilé únikové techniky
Aby se útočníci vyhnuli detekci, používají několik technik, včetně snímání otisků prstů, detekce anti-botů, maskování, návnad inspirovaných CAPTCHA a matovacích metod, které zakrývají skutečnou povahu jejich phishingové infrastruktury. Tato taktika jim pomáhá obejít bezpečnostní opatření a vyhnout se tomu, aby byli označeni automatickými systémy.
Ozbrojení kompromitovaných účtů
Jakmile je účet napaden, útočníci se přihlásí, přidají nového správce a zneužijí reklamní rozpočet oběti ke spuštění podvodného Google Ads. To jim umožňuje dále rozšiřovat své phishingové operace a vytvářet cyklus, kdy jsou unesené účty využívány k přilákání ještě více obětí.
Možné odkazy na aktéry hrozeb z Brazílie
Důkazy naznačují, že za těmito kampaněmi stojí více jednotlivců nebo skupin. Je pozoruhodné, že mnoho z nich mluví portugalsky a pravděpodobně působí mimo Brazílii. Phishingová infrastruktura využívá zprostředkovatelské domény s portugalskou doménou nejvyšší úrovně .pt (TLD), což dále podporuje tuto hypotézu.
Reakce společnosti Google na podvodné reklamy
Google uznal tyto zlovolné kampaně a aktivně monitoruje svou reklamní síť, aby zabránil zneužití. Společnost prosazuje přísná opatření proti klamavým inzerentům, kteří se pokoušejí uvést uživatele v omyl ohledně jejich podnikání, produktů nebo služeb.
Miliardy reklam odstraněny pro boj s hrozbami
Jen v roce 2023 Google odstranil více než 3,4 miliardy reklam, omezil více než 5,7 miliardy reklam a pozastavil přibližně 5,6 milionu účtů inzerentů. Z toho bylo 206,5 milionu reklam výslovně zablokováno kvůli porušení zásad společnosti Google týkající se zkreslování. Tato čísla zdůrazňují pokračující boj proti podvodné reklamě a závazek společnosti Google udržovat integritu reklamy.
