Απάτη κακόβουλης διαφήμισης του Google Ads
Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια νέα καμπάνια κακόβουλης διαφήμισης που στοχεύει άτομα και επιχειρήσεις που διαφημίζονται μέσω του Google Ads. Αυτό το σχέδιο περιλαμβάνει παραπλανητικές διαφημίσεις που υποδύονται το ίδιο το Google Ads, παρασύροντας τα θύματα σε παγίδες phishing που έχουν σχεδιαστεί για να κλέψουν τα διαπιστευτήριά τους.
Πίνακας περιεχομένων
Με στόχο την εξαγορά λογαριασμού
Ο πρωταρχικός στόχος των εισβολέων είναι να παραβιάσουν όσο το δυνατόν περισσότερους λογαριασμούς Google Ads. Ανακατευθύνοντας τα θύματα σε ψεύτικες σελίδες σύνδεσης, κλέβουν διαπιστευτήρια που θα μπορούσαν να επαναχρησιμοποιηθούν για την επέκταση των καμπανιών τους. Επιπλέον, αυτοί οι ιδιοποιημένοι λογαριασμοί πιθανότατα πωλούνται σε υπόγεια φόρουμ. Οι αναφορές στα φόρουμ υποστήριξης Reddit, Bluesky και Google υποδεικνύουν ότι αυτή η δραστηριότητα βρίσκεται σε εξέλιξη τουλάχιστον από τα μέσα Νοεμβρίου 2024.
Ομοιότητες με το Facebook Business Account Tactics
Οι τακτικές που χρησιμοποιούνται σε αυτήν την καμπάνια μοιάζουν πολύ με εκείνες που χρησιμοποιήθηκαν σε προηγούμενες επιθέσεις που στόχευαν επιχειρηματικούς και διαφημιστικούς λογαριασμούς στο Facebook. Σε αυτές τις περιπτώσεις, οι εγκληματίες του κυβερνοχώρου ανέπτυξαν κακόβουλο λογισμικό κλοπής για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να χρησιμοποιήσουν τους παραβιασμένους λογαριασμούς για ψεύτικες διαφημιστικές καμπάνιες που εξαπλώνουν περαιτέρω το κακόβουλο λογισμικό.
Τακτικές εκμετάλλευσης και ανακατεύθυνσης μηχανών αναζήτησης
Οι φορείς απειλών έχουν σχεδιάσει την καμπάνια τους έτσι ώστε να εμφανίζεται όταν οι χρήστες αναζητούν "Google Ads" στη μηχανή αναζήτησης της Google. Κάνοντας κλικ σε αυτές τις δόλιες διαφημίσεις οδηγούν τους χρήστες σε ιστότοπους ηλεκτρονικού ψαρέματος που φιλοξενούνται στους Ιστότοπους Google. Στη συνέχεια, αυτοί οι ιστότοποι κατευθύνουν τους επισκέπτες σε εξωτερικές σελίδες phishing που καταγράφουν τα διαπιστευτήρια σύνδεσης και τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA). Τα δεδομένα που συλλέγονται στη συνέχεια μεταδίδονται μέσω WebSocket σε έναν εξωτερικό διακομιστή που διαχειρίζονται οι εισβολείς.
Αξιοποίηση των πολιτικών URL του Google Ads
Μια βασική στρατηγική που ενεργοποιεί αυτήν την επίθεση είναι η πολιτική του Google Ads που επιτρέπει στο τελικό URL (η σελίδα προορισμού μετά το κλικ σε μια διαφήμιση) να διαφέρει από τη διεύθυνση URL εμφάνισης εφόσον ταιριάζουν οι τομείς. Αυτό το κενό επιτρέπει στους εισβολείς να φιλοξενούν ενδιάμεσες σελίδες ηλεκτρονικού "ψαρέματος" στους Ιστότοπους Google ενώ εμφανίζουν διευθύνσεις URL που φαίνεται να είναι νόμιμοι σύνδεσμοι του Google Ads.
Προηγμένες Τεχνικές Αποφυγής
Για να αποφύγουν τον εντοπισμό, οι εισβολείς χρησιμοποιούν διάφορες τεχνικές, όπως δακτυλικά αποτυπώματα, ανίχνευση anti-bot, cloaking, θέλγητρα εμπνευσμένα από το CAPTCHA και μεθόδους συσκότισης που κρύβουν την πραγματική φύση της υποδομής phishing τους. Αυτές οι τακτικές τους βοηθούν να παρακάμψουν τα μέτρα ασφαλείας και να αποφύγουν την επισήμανση από αυτοματοποιημένα συστήματα.
Εξοπλισμός παραβιασμένων λογαριασμών
Μόλις παραβιαστεί ένας λογαριασμός, οι εισβολείς συνδέονται, προσθέτουν έναν νέο διαχειριστή και εκμεταλλεύονται τον προϋπολογισμό διαφημίσεων του θύματος για να εκτελέσουν δόλια Google Ads. Αυτό τους επιτρέπει να επεκτείνουν περαιτέρω τις λειτουργίες ηλεκτρονικού "ψαρέματος" τους, δημιουργώντας έναν κύκλο όπου οι παραβιασμένοι λογαριασμοί χρησιμοποιούνται για να δελεάσουν ακόμη περισσότερα θύματα.
Πιθανοί σύνδεσμοι με ηθοποιούς απειλών που βασίζονται στη Βραζιλία
Τα στοιχεία δείχνουν ότι πίσω από αυτές τις καμπάνιες κρύβονται πολλά άτομα ή ομάδες. Σημειωτέον, πολλοί από αυτούς είναι ομιλητές Πορτογαλίας και πιθανότατα λειτουργούν εκτός Βραζιλίας. Η υποδομή phishing χρησιμοποιεί ενδιάμεσους τομείς με τον τομέα ανώτατου επιπέδου .pt (TLD) της Πορτογαλίας, υποστηρίζοντας περαιτέρω αυτήν την υπόθεση.
Η απάντηση της Google σε δόλιες διαφημίσεις
Η Google έχει αναγνωρίσει αυτές τις κακόβουλες καμπάνιες και παρακολουθεί ενεργά το διαφημιστικό της δίκτυο για να αποτρέψει την κατάχρηση. Η εταιρεία επιβάλλει αυστηρά μέτρα κατά των παραπλανητικών διαφημιζόμενων που επιχειρούν να παραπλανήσουν τους χρήστες σχετικά με τις επιχειρήσεις, τα προϊόντα ή τις υπηρεσίες τους.
Δισεκατομμύρια διαφημίσεις αφαιρέθηκαν για την καταπολέμηση των απειλών
Μόνο το 2023, η Google αφαίρεσε πάνω από 3,4 δισεκατομμύρια διαφημίσεις, περιόρισε περισσότερες από 5,7 δισεκατομμύρια διαφημίσεις και ανέστειλε περίπου 5,6 εκατομμύρια λογαριασμούς διαφημιζόμενων. Από αυτές, 206,5 εκατομμύρια διαφημίσεις αποκλείστηκαν ρητά για παραβίαση της Πολιτικής παραπλανήσεων της Google. Αυτά τα στοιχεία υπογραμμίζουν τη συνεχιζόμενη μάχη κατά της δόλιας διαφήμισης και τη δέσμευση της Google για τη διατήρηση της ακεραιότητας των διαφημίσεων.
