Google Ads Malvertising-svindel
Nettsikkerhetsforskere har avdekket en ny malvertising-kampanje rettet mot enkeltpersoner og bedrifter som annonserer via Google Ads. Denne ordningen involverer villedende annonser som utgir seg for å være Google Ads selv, og lokker ofre inn i phishing-feller designet for å stjele legitimasjonen deres.
Innholdsfortegnelse
Sikter mot kontoovertakelse
Angripernes primære mål er å kapre så mange Google Ads-kontoer som mulig. Ved å omdirigere ofre til falske påloggingssider, stjeler de legitimasjon som kan gjenbrukes for å utvide kampanjene deres. I tillegg blir disse misbrukte kontoene sannsynligvis solgt på underjordiske fora. Rapporter på Reddit, Bluesky og Googles støttefora indikerer at denne aktiviteten har pågått siden minst midten av november 2024.
Likheter med Facebook Business Account Tactics
Taktikken som ble brukt i denne kampanjen ligner mye på de som ble brukt i tidligere angrep rettet mot Facebook-bedrifter og reklamekontoer. I disse tilfellene distribuerte nettkriminelle skadelig programvare for å få uautorisert tilgang og bruke de kaprede kontoene til falske reklamekampanjer som sprer skadelig programvare ytterligere.
Søkemotorutnyttelse og omdirigeringstaktikk
Trusselaktørene har designet kampanjen sin slik at den vises når brukere søker etter «Google Ads» på Googles søkemotor. Ved å klikke på disse uredelige annonsene fører brukerne til nettfisking-nettsteder som er vert på Google Nettsteder. Disse nettstedene leder deretter besøkende til eksterne phishing-sider som registrerer påloggingsinformasjon og 2FA-koder (tofaktorautentisering). De innsamlede dataene blir deretter overført via WebSocket til en ekstern server administrert av angriperne.
Utnytte Google Ads' nettadresseretningslinjer
En nøkkelstrategi som muliggjør dette angrepet er Google Ads' retningslinjer som tillater at den endelige nettadressen (destinasjonssiden etter å ha klikket på en annonse) er forskjellig fra visningsadressen så lenge domenene samsvarer. Dette smutthullet gjør det mulig for angripere å være vert for mellomliggende phishing-sider på Google Nettsteder mens de viser nettadresser som ser ut til å være legitime Google Ads-koblinger.
Avanserte unnvikelsesteknikker
For å unngå oppdagelse bruker angriperne flere teknikker, inkludert fingeravtrykk, anti-bot-deteksjon, cloaking, CAPTCHA-inspirerte lokker og tilsløringsmetoder som skjuler den sanne naturen til deres phishing-infrastruktur. Disse taktikkene hjelper dem å omgå sikkerhetstiltak og unngå å bli flagget av automatiserte systemer.
Bevæpning av kompromitterte kontoer
Når en konto er kompromittert, logger angripere på, legger til en ny administrator og utnytter offerets annonsebudsjett til å kjøre falske Google Ads. Dette lar dem utvide phishing-operasjonen ytterligere, og skaper en syklus der kaprede kontoer brukes til å lokke inn enda flere ofre.
Mulige lenker til Brasil-baserte trusselskuespillere
Bevis tyder på at flere individer eller grupper står bak disse kampanjene. Spesielt er mange av dem portugisisktalende og opererer sannsynligvis fra Brasil. Phishing-infrastrukturen bruker mellomliggende domener med Portugals .pt-toppnivådomene (TLD), og støtter denne hypotesen ytterligere.
Googles svar på falske annonser
Google har anerkjent disse ondsinnede kampanjene og overvåker aktivt annonsenettverket for å forhindre misbruk. Selskapet håndhever strenge tiltak mot villedende annonsører som forsøker å villede brukere om deres virksomheter, produkter eller tjenester.
Milliarder av annonser fjernet for å bekjempe trusler
Bare i 2023 fjernet Google over 3,4 milliarder annonser, begrenset mer enn 5,7 milliarder annonser og suspenderte omtrent 5,6 millioner annonsørkontoer. Av disse ble 206,5 millioner annonser eksplisitt blokkert for brudd på Googles retningslinjer for feilaktig fremstilling. Disse tallene fremhever den pågående kampen mot uredelig annonsering og Googles forpliktelse til å opprettholde annonseintegriteten.
