Oszustwo Google Ads Malvertising
Badacze cyberbezpieczeństwa odkryli nową kampanię malvertisingową skierowaną do osób i firm, które reklamują się za pośrednictwem Google Ads. Ten schemat obejmuje oszukańcze reklamy, które podszywają się pod Google Ads, wciągając ofiary w pułapki phishingowe zaprojektowane w celu kradzieży ich danych uwierzytelniających.
Spis treści
Dążenie do przejęcia konta
Głównym celem atakujących jest przejęcie jak największej liczby kont Google Ads. Przekierowując ofiary na fałszywe strony logowania, kradną dane uwierzytelniające, które mogą zostać ponownie wykorzystane do rozszerzenia ich kampanii. Ponadto te przywłaszczone konta są prawdopodobnie sprzedawane na podziemnych forach. Raporty na Reddicie, Bluesky i forach wsparcia Google wskazują, że ta aktywność trwa co najmniej od połowy listopada 2024 r.
Podobieństwa do taktyk kont firmowych na Facebooku
Taktyki stosowane w tej kampanii są bardzo podobne do tych stosowanych w poprzednich atakach na konta biznesowe i reklamowe na Facebooku. W tych przypadkach cyberprzestępcy wdrażali złośliwe oprogramowanie typu stealer, aby uzyskać nieautoryzowany dostęp i wykorzystać przejęte konta do fałszywych kampanii reklamowych, które dalej rozprzestrzeniają złośliwe oprogramowanie.
Wykorzystywanie wyszukiwarek i taktyki przekierowywania
Aktorzy zagrożenia zaprojektowali swoją kampanię tak, aby pojawiała się, gdy użytkownicy wyszukują „Google Ads” w wyszukiwarce Google. Kliknięcie tych fałszywych reklam prowadzi użytkowników do witryn phishingowych hostowanych w Google Sites. Witryny te kierują następnie odwiedzających do zewnętrznych stron phishingowych, które przechwytują dane logowania i kody uwierzytelniania dwuskładnikowego (2FA). Zebrane dane są następnie przesyłane za pośrednictwem protokołu WebSocket do zewnętrznego serwera zarządzanego przez atakujących.
Wykorzystanie zasad dotyczących adresów URL w Google Ads
Jedną z kluczowych strategii umożliwiających ten atak jest polityka Google Ads, która pozwala, aby ostateczny adres URL (strona docelowa po kliknięciu reklamy) był inny niż wyświetlany adres URL, o ile domeny są zgodne. Ta luka umożliwia atakującym hostowanie pośrednich stron phishingowych w witrynach Google, wyświetlając jednocześnie adresy URL, które wydają się być legalnymi linkami Google Ads.
Zaawansowane techniki unikania
Aby uniknąć wykrycia, atakujący stosują kilka technik, w tym odcisk palca, wykrywanie antybotów, maskowanie, przynęty inspirowane CAPTCHA i metody zaciemniania, które ukrywają prawdziwą naturę ich infrastruktury phishingowej. Te taktyki pomagają im ominąć środki bezpieczeństwa i uniknąć oznaczenia przez zautomatyzowane systemy.
Broń do wykorzystania naruszonych kont
Gdy konto zostanie naruszone, atakujący logują się, dodają nowego administratora i wykorzystują budżet reklamowy ofiary, aby uruchomić oszukańcze reklamy Google Ads. Pozwala im to na dalsze rozszerzanie operacji phishingowych, tworząc cykl, w którym przejęte konta są wykorzystywane do wabienia jeszcze większej liczby ofiar.
Możliwe powiązania z brazylijskimi aktorami stanowiącymi zagrożenie
Dowody wskazują, że za tymi kampaniami stoi wiele osób lub grup. Co ciekawe, wiele z nich mówi po portugalsku i prawdopodobnie działa z Brazylii. Infrastruktura phishingowa wykorzystuje domeny pośredniczące z portugalską domeną najwyższego poziomu (TLD) .pt, co dodatkowo potwierdza tę hipotezę.
Odpowiedź Google na oszukańcze reklamy
Google potwierdziło te złośliwe kampanie i aktywnie monitoruje swoją sieć reklamową, aby zapobiegać nadużyciom. Firma egzekwuje surowe środki przeciwko oszukańczym reklamodawcom, którzy próbują wprowadzić użytkowników w błąd co do swoich firm, produktów lub usług.
Miliardy reklam usunięte w celu zwalczania zagrożeń
Tylko w 2023 r. Google usunęło ponad 3,4 mld reklam, ograniczyło ponad 5,7 mld reklam i zawiesiło około 5,6 mln kont reklamodawców. Spośród nich 206,5 mln reklam zostało wyraźnie zablokowanych z powodu naruszenia zasad Google dotyczących wprowadzania w błąd. Liczby te podkreślają trwającą walkę z oszukańczą reklamą i zaangażowanie Google w utrzymanie integralności reklam.
