Google Ads 악성 광고 사기
사이버 보안 연구원들은 Google Ads를 통해 광고하는 개인과 기업을 표적으로 삼는 새로운 멀버타이징 캠페인을 발견했습니다. 이 계획에는 Google Ads 자체를 가장하는 사기성 광고가 포함되어 피해자를 자격 증명을 훔치도록 설계된 피싱 함정으로 유인합니다.
목차
계정 인수를 목표로 함
공격자의 주요 목표는 가능한 한 많은 Google Ads 계정을 하이재킹하는 것입니다. 피해자를 가짜 로그인 페이지로 리디렉션하여 캠페인을 확장하는 데 재사용할 수 있는 자격 증명을 훔칩니다. 또한 이러한 오용된 계정은 지하 포럼에서 판매될 가능성이 높습니다. Reddit, Bluesky 및 Google 지원 포럼의 보고서에 따르면 이 활동은 적어도 2024년 11월 중순부터 계속되고 있습니다.
Facebook 비즈니스 계정 전략과의 유사점
이 캠페인에서 사용된 전술은 Facebook 비즈니스 및 광고 계정을 표적으로 삼은 과거 공격에서 사용된 전술과 매우 유사합니다. 이러한 경우 사이버 범죄자는 스틸러 맬웨어를 배포하여 무단 액세스를 얻고 해킹된 계정을 가짜 광고 캠페인에 사용하여 맬웨어를 더욱 확산시켰습니다.
검색 엔진 악용 및 리디렉션 전술
위협 행위자들은 사용자가 Google 검색 엔진에서 "Google Ads"를 검색할 때 나타나도록 캠페인을 설계했습니다. 이러한 사기성 광고를 클릭하면 사용자는 Google Sites에 호스팅된 피싱 사이트로 이동합니다. 그런 다음 이러한 사이트는 방문자를 로그인 자격 증명과 2단계 인증(2FA) 코드를 캡처하는 외부 피싱 페이지로 안내합니다. 수집된 데이터는 WebSocket을 통해 공격자가 관리하는 외부 서버로 전송됩니다.
Google Ads URL 정책 활용
이 공격을 가능하게 하는 핵심 전략 중 하나는 Google Ads 정책으로, 도메인이 일치하는 한 최종 URL(광고를 클릭한 후의 도착 페이지)이 표시 URL과 다를 수 있습니다. 이 허점을 통해 공격자는 Google 사이트에서 중간 피싱 페이지를 호스팅하는 동시에 합법적인 Google Ads 링크인 것처럼 보이는 URL을 표시할 수 있습니다.
고급 회피 기술
탐지를 피하기 위해 공격자는 지문, 봇 탐지, 클로킹, CAPTCHA에서 영감을 받은 미끼, 피싱 인프라의 진짜 본질을 숨기는 난독화 방법을 포함한 여러 기술을 사용합니다. 이러한 전술은 보안 조치를 우회하고 자동화된 시스템에 의해 플래그가 지정되는 것을 방지하는 데 도움이 됩니다.
손상된 계정의 무기화
계정이 침해되면 공격자는 로그인하여 새 관리자를 추가하고 피해자의 광고 예산을 악용하여 사기성 Google Ads를 운영합니다. 이를 통해 피싱 작업을 더욱 확장하여 해킹된 계정을 사용하여 더 많은 피해자를 유인하는 순환을 만듭니다.
브라질 기반 위협 행위자와의 가능한 링크
증거에 따르면 이러한 캠페인의 배후에는 여러 개인이나 그룹이 있습니다. 주목할 점은 이들 중 다수가 포르투갈어 사용자이며 브라질에서 활동할 가능성이 높다는 것입니다. 피싱 인프라는 포르투갈의 .pt 최상위 도메인(TLD)이 있는 중간 도메인을 활용하여 이 가설을 더욱 뒷받침합니다.
사기성 광고에 대한 Google의 대응
Google은 이러한 악의적인 캠페인을 인정했으며 남용을 방지하기 위해 광고 네트워크를 적극적으로 모니터링하고 있습니다. 이 회사는 사업, 제품 또는 서비스에 대해 사용자를 오도하려는 사기성 광고주에 대해 엄격한 조치를 시행합니다.
위협에 대처하기 위해 수십억 개의 광고가 제거되었습니다.
2023년에만 Google은 34억 개가 넘는 광고를 삭제하고, 57억 개가 넘는 광고를 제한했으며, 약 560만 개의 광고주 계정을 정지했습니다. 이 중 2억 650만 개의 광고가 Google의 허위 진술 정책을 위반하여 명시적으로 차단되었습니다. 이 수치는 사기성 광고에 대한 지속적인 싸움과 광고 무결성을 유지하려는 Google의 노력을 강조합니다.
