Google Ads Malvertising fidus
Cybersikkerhedsforskere har afsløret en ny malvertising-kampagne rettet mod enkeltpersoner og virksomheder, der annoncerer via Google Ads. Denne ordning involverer vildledende annoncer, der efterligner Google Ads selv og lokker ofre ind i phishing-fælder designet til at stjæle deres legitimationsoplysninger.
Indholdsfortegnelse
Sigter mod kontoovertagelse
Angribernes primære mål er at kapre så mange Google Ads-konti som muligt. Ved at omdirigere ofre til falske login-sider stjæler de legitimationsoplysninger, der kan genbruges til at udvide deres kampagner. Derudover sælges disse uretmæssige konti sandsynligvis på underjordiske fora. Rapporter om Reddit, Bluesky og Googles supportfora indikerer, at denne aktivitet har været i gang siden mindst midten af november 2024.
Ligheder med Facebook Business Account Tactics
De taktikker, der blev brugt i denne kampagne, minder meget om dem, der blev brugt i tidligere angreb rettet mod Facebooks forretnings- og reklamekonti. I disse tilfælde implementerede cyberkriminelle tyveri-malware for at få uautoriseret adgang og bruge de kaprede konti til falske reklamekampagner, der yderligere spredte malwaren.
Søgemaskineudnyttelse og omdirigeringstaktik
Trusselsaktørerne har designet deres kampagne til at blive vist, når brugere søger efter "Google Ads" på Googles søgemaskine. Ved at klikke på disse svigagtige annoncer fører brugerne til phishing-websteder, der hostes på Google Sites. Disse websteder dirigerer derefter besøgende til eksterne phishing-sider, der registrerer loginoplysninger og 2FA-koder (To-Factor Authentication). De indsamlede data overføres derefter via WebSocket til en ekstern server, der administreres af angriberne.
Udnyttelse af Google Ads' webadressepolitikker
En nøglestrategi, der muliggør dette angreb, er Google Ads' politik, der tillader, at den endelige webadresse (destinationssiden efter klik på en annonce) er forskellig fra den annoncerede webadresse, så længe domænerne matcher. Dette smuthul gør det muligt for angribere at være vært for mellemliggende phishing-sider på Google Sites, mens de viser webadresser, der ser ud til at være legitime Google Ads-links.
Avancerede undvigelsesteknikker
For at undgå opdagelse anvender angriberne adskillige teknikker, herunder fingeraftryk, anti-bot-detektion, cloaking, CAPTCHA-inspirerede lokker og sløringsmetoder, der skjuler den sande natur af deres phishing-infrastruktur. Disse taktikker hjælper dem med at omgå sikkerhedsforanstaltninger og undgå at blive markeret af automatiserede systemer.
Bevæbning af kompromitterede konti
Når en konto er kompromitteret, logger angribere på, tilføjer en ny administrator og udnytter ofrets annoncebudget til at køre svigagtige Google Ads. Dette giver dem mulighed for at udvide deres phishing-operationer yderligere, hvilket skaber en cyklus, hvor kaprede konti bruges til at lokke endnu flere ofre ind.
Mulige links til Brasilien-baserede trusselsaktører
Beviser tyder på, at flere enkeltpersoner eller grupper står bag disse kampagner. Det er bemærkelsesværdigt, at mange af dem er portugisisktalende og sandsynligvis opererer fra Brasilien. Phishing-infrastrukturen bruger mellemliggende domæner med Portugals .pt top-level domæne (TLD), hvilket yderligere understøtter denne hypotese.
Googles svar på svigagtige annoncer
Google har anerkendt disse ondsindede kampagner og overvåger aktivt sit annoncenetværk for at forhindre misbrug. Virksomheden håndhæver strenge foranstaltninger over for vildledende annoncører, der forsøger at vildlede brugere om deres virksomheder, produkter eller tjenester.
Milliarder af annoncer fjernet for at bekæmpe trusler
Alene i 2023 fjernede Google over 3,4 milliarder annoncer, begrænsede mere end 5,7 milliarder annoncer og suspenderede cirka 5,6 millioner annoncørkonti. Af disse blev 206,5 millioner annoncer eksplicit blokeret for at overtræde Googles politik om vildledende oplysninger. Disse tal fremhæver den igangværende kamp mod svigagtig annoncering og Googles forpligtelse til at bevare annonceintegriteten.
