Google Ads Malvertising-oplichting
Cybersecurity-onderzoekers hebben een nieuwe malvertisingcampagne ontdekt die zich richt op individuen en bedrijven die adverteren via Google Ads. Deze opzet omvat misleidende advertenties die Google Ads zelf imiteren en slachtoffers lokken in phishingvallen die zijn ontworpen om hun inloggegevens te stelen.
Inhoudsopgave
Streven naar accountovername
Het primaire doel van de aanvallers is om zoveel mogelijk Google Ads-accounts te kapen. Door slachtoffers om te leiden naar nep-inlogpagina's, stelen ze inloggegevens die opnieuw gebruikt kunnen worden om hun campagnes uit te breiden. Bovendien worden deze misbruikte accounts waarschijnlijk verkocht op ondergrondse forums. Rapporten op Reddit, Bluesky en de supportforums van Google geven aan dat deze activiteit al sinds ten minste half november 2024 gaande is.
Overeenkomsten met Facebook Business Account Tactieken
De tactieken die in deze campagne worden gebruikt, lijken sterk op die van eerdere aanvallen op Facebook-bedrijfs- en advertentieaccounts. In die gevallen gebruikten cybercriminelen stealer-malware om ongeautoriseerde toegang te krijgen en de gekaapte accounts te gebruiken voor nepadvertentiecampagnes die de malware verder verspreidden.
Exploitatie van zoekmachines en omleidingstactieken
De dreigingsactoren hebben hun campagne zo ontworpen dat deze verschijnt wanneer gebruikers zoeken naar "Google Ads" op de zoekmachine van Google. Door op deze frauduleuze advertenties te klikken, worden gebruikers naar phishingsites geleid die worden gehost op Google Sites. Deze sites leiden bezoekers vervolgens naar externe phishingpagina's die inloggegevens en Two-Factor Authentication (2FA)-codes vastleggen. De verzamelde gegevens worden vervolgens via WebSocket verzonden naar een externe server die wordt beheerd door de aanvallers.
Het URL-beleid van Google Ads benutten
Een belangrijke strategie die deze aanval mogelijk maakt, is het beleid van Google Ads dat toestaat dat de uiteindelijke URL (de bestemmingspagina na het klikken op een advertentie) verschilt van de weergegeven URL, zolang de domeinen overeenkomen. Deze maas in de wet stelt aanvallers in staat om tussenliggende phishingpagina's op Google Sites te hosten terwijl ze URL's weergeven die legitieme Google Ads-links lijken te zijn.
Geavanceerde ontwijkingstechnieken
Om detectie te ontwijken, gebruiken de aanvallers verschillende technieken, waaronder vingerafdrukken, anti-botdetectie, cloaking, CAPTCHA-geïnspireerde lokmiddelen en verduisteringsmethoden die de ware aard van hun phishinginfrastructuur verbergen. Deze tactieken helpen hen om beveiligingsmaatregelen te omzeilen en te voorkomen dat ze worden gemarkeerd door geautomatiseerde systemen.
Gecompromitteerde accounts als wapen gebruiken
Zodra een account is gecompromitteerd, loggen aanvallers in, voegen een nieuwe beheerder toe en misbruiken het advertentiebudget van het slachtoffer om frauduleuze Google Ads uit te voeren. Hierdoor kunnen ze hun phishing-activiteiten verder uitbreiden, waardoor een cyclus ontstaat waarin gekaapte accounts worden gebruikt om nog meer slachtoffers te lokken.
Mogelijke banden met in Brazilië gevestigde dreigingsactoren
Bewijs suggereert dat meerdere personen of groepen achter deze campagnes zitten. Opvallend is dat veel van hen Portugees spreken en waarschijnlijk vanuit Brazilië opereren. De phishing-infrastructuur maakt gebruik van intermediaire domeinen met het Portugese .pt topleveldomein (TLD), wat deze hypothese verder ondersteunt.
Reactie van Google op frauduleuze advertenties
Google heeft deze kwaadaardige campagnes erkend en houdt zijn advertentienetwerk actief in de gaten om misbruik te voorkomen. Het bedrijf hanteert strenge maatregelen tegen misleidende adverteerders die gebruikers proberen te misleiden over hun bedrijven, producten of diensten.
Miljarden advertenties verwijderd om bedreigingen te bestrijden
Alleen al in 2023 heeft Google meer dan 3,4 miljard advertenties verwijderd, meer dan 5,7 miljard advertenties beperkt en ongeveer 5,6 miljoen adverteerdersaccounts opgeschort. Hiervan werden 206,5 miljoen advertenties expliciet geblokkeerd vanwege schending van Google's Misrepresentation Policy. Deze cijfers benadrukken de voortdurende strijd tegen frauduleuze advertenties en Google's toewijding aan het behoud van advertentie-integriteit.
