Truffa di malvertising di Google Ads
I ricercatori di sicurezza informatica hanno scoperto una nuova campagna di malvertising che prende di mira individui e aziende che pubblicizzano tramite Google Ads. Questo schema prevede annunci ingannevoli che impersonano Google Ads stesso, attirando le vittime in trappole di phishing progettate per rubare le loro credenziali.
Sommario
Puntando all'Account Takeover
L'obiettivo principale degli aggressori è dirottare quanti più account Google Ads possibile. Reindirizzando le vittime a pagine di accesso false, rubano credenziali che potrebbero essere riutilizzate per espandere le loro campagne. Inoltre, è probabile che questi account sottratti vengano venduti su forum underground. I report su Reddit, Bluesky e sui forum di supporto di Google indicano che questa attività è in corso almeno da metà novembre 2024.
Similitudini con le tattiche degli account aziendali di Facebook
Le tattiche utilizzate in questa campagna assomigliano molto a quelle impiegate in attacchi passati che hanno preso di mira account aziendali e pubblicitari di Facebook. In quei casi, i criminali informatici hanno distribuito malware stealer per ottenere un accesso non autorizzato e utilizzare gli account dirottati per campagne pubblicitarie false che hanno ulteriormente diffuso il malware.
Sfruttamento dei motori di ricerca e tattiche di reindirizzamento
Gli autori della minaccia hanno progettato la loro campagna in modo che appaia quando gli utenti cercano "Google Ads" sul motore di ricerca di Google. Cliccando su questi annunci fraudolenti, gli utenti vengono indirizzati a siti di phishing ospitati su Google Sites. Questi siti indirizzano quindi i visitatori a pagine di phishing esterne che catturano credenziali di accesso e codici di autenticazione a due fattori (2FA). I dati raccolti vengono quindi trasmessi tramite WebSocket a un server esterno gestito dagli aggressori.
Sfruttare le norme URL di Google Ads
Una strategia chiave che consente questo attacco è la politica di Google Ads che consente che l'URL finale (la pagina di destinazione dopo aver cliccato su un annuncio) sia diverso dall'URL visualizzato, purché i domini corrispondano. Questa scappatoia consente agli aggressori di ospitare pagine di phishing intermedie su Google Sites, visualizzando URL che sembrano link Google Ads legittimi.
Tecniche di evasione avanzate
Per eludere il rilevamento, gli aggressori impiegano diverse tecniche, tra cui impronte digitali, rilevamento anti-bot, cloaking, esche ispirate a CAPTCHA e metodi di offuscamento che nascondono la vera natura della loro infrastruttura di phishing. Queste tattiche li aiutano a bypassare le misure di sicurezza ed evitare di essere segnalati dai sistemi automatizzati.
Utilizzare come arma gli account compromessi
Una volta che un account è compromesso, gli aggressori effettuano l'accesso, aggiungono un nuovo amministratore e sfruttano il budget pubblicitario della vittima per eseguire annunci Google fraudolenti. Ciò consente loro di espandere ulteriormente le loro operazioni di phishing, creando un ciclo in cui gli account dirottati vengono utilizzati per attirare ancora più vittime.
Possibili collegamenti con gli attori della minaccia con sede in Brasile
Le prove suggeriscono che dietro queste campagne ci siano più individui o gruppi. In particolare, molti di loro sono di madrelingua portoghese e probabilmente operano dal Brasile. L'infrastruttura di phishing utilizza domini intermedi con il dominio di primo livello (TLD) .pt del Portogallo, il che supporta ulteriormente questa ipotesi.
La risposta di Google alle pubblicità fraudolente
Google ha riconosciuto queste campagne malevole e sta monitorando attivamente la sua rete pubblicitaria per prevenire abusi. L'azienda applica misure severe contro gli inserzionisti ingannevoli che tentano di ingannare gli utenti sulle loro attività, prodotti o servizi.
Miliardi di pubblicità rimosse per combattere le minacce
Solo nel 2023, Google ha rimosso oltre 3,4 miliardi di annunci, limitato più di 5,7 miliardi di pubblicità e sospeso circa 5,6 milioni di account di inserzionisti. Di questi, 206,5 milioni di annunci sono stati bloccati esplicitamente per violazione della Politica di Google sulla rappresentazione ingannevole. Queste cifre evidenziano la battaglia in corso contro la pubblicità fraudolenta e l'impegno di Google nel mantenere l'integrità degli annunci.
