Google Ads Malvertising Scam
Pesquisadores de segurança cibernética descobriram uma nova campanha de malvertising direcionada a indivíduos e empresas que anunciam via Google Ads. Esse esquema envolve anúncios enganosos que se passam pelo próprio Google Ads, atraindo vítimas para armadilhas de phishing projetadas para roubar suas credenciais.
Índice
Visa Assumir uma Conta
O objetivo principal dos invasores é sequestrar o máximo possível de contas do Google Ads. Ao redirecionar as vítimas para páginas de login falsas, eles roubam credenciais que podem ser reutilizadas para expandir suas campanhas. Além disso, essas contas apropriadas indevidamente provavelmente estão sendo vendidas em fóruns clandestinos. Relatórios no Reddit, Bluesky e fóruns de suporte do Google indicam que essa atividade está em andamento desde pelo menos meados de novembro de 2024.
Semelhanças com as Táticas de Contas Comerciais do Facebook
As táticas usadas nesta campanha se assemelham muito àquelas empregadas em ataques passados visando contas comerciais e de publicidade do Facebook. Nesses casos, os cibercriminosos implantaram malware stealer para obter acesso não autorizado e usar as contas sequestradas para campanhas de publicidade falsas que espalham ainda mais o malware.
Exploração de Mecanismos de Busca e Táticas de Redirecionamento
Os agentes de ameaças projetaram sua campanha para aparecer quando os usuários pesquisarem por "Google Ads" no mecanismo de busca do Google. Clicar nesses anúncios fraudulentos leva os usuários a sites de phishing hospedados no Google Sites. Esses sites então direcionam os visitantes para páginas externas de phishing que capturam credenciais de login e códigos de autenticação de dois fatores (2FA). Os dados coletados são então transmitidos via WebSocket para um servidor externo gerenciado pelos invasores.
Aproveitando as Políticas de URL do Google Ads
Uma estratégia-chave que permite esse ataque é a política do Google Ads que permite que a URL final (a página de destino após clicar em um anúncio) seja diferente da URL de exibição, desde que os domínios correspondam. Essa brecha permite que invasores hospedem páginas de phishing intermediárias no Google Sites enquanto exibem URLs que parecem ser links legítimos do Google Ads.
Técnicas de Evasão Avançadas
Para evitar a detecção, os invasores empregam várias técnicas, incluindo impressão digital, detecção anti-bot, camuflagem, iscas inspiradas em CAPTCHA e métodos de ofuscação que ocultam a verdadeira natureza de sua infraestrutura de phishing. Essas táticas os ajudam a contornar medidas de segurança e evitar serem sinalizados por sistemas automatizados.
Assumindo as Contas Comprometidas
Depois que uma conta é comprometida, os invasores fazem login, adicionam um novo administrador e exploram o orçamento de anúncios da vítima para executar anúncios fraudulentos do Google. Isso permite que eles expandam ainda mais suas operações de phishing, criando um ciclo em que contas sequestradas são usadas para atrair ainda mais vítimas.
Possíveis Ligações com Autores de Ameaças Baseados no Brasil
As evidências sugerem que vários indivíduos ou grupos estão por trás dessas campanhas. Notavelmente, muitos deles são falantes de português e provavelmente operam no Brasil. A infraestrutura de phishing utiliza domínios intermediários com o domínio de nível superior (TLD) .pt de Portugal, apoiando ainda mais essa hipótese.
Resposta do Google a Anúncios Fraudulentos
O Google reconheceu essas campanhas malévolas e está monitorando ativamente sua rede de anúncios para evitar abusos. A empresa aplica medidas rigorosas contra anunciantes enganosos que tentam enganar os usuários sobre seus negócios, produtos ou serviços.
Bilhões de Anúncios Removidos para Combater Ameaças
Somente em 2023, o Google removeu mais de 3,4 bilhões de anúncios, restringiu mais de 5,7 bilhões de anúncios e suspendeu aproximadamente 5,6 milhões de contas de anunciantes. Destes, 206,5 milhões de anúncios foram explicitamente bloqueados por violar a Política de Falsas Representações do Google. Esses números destacam a batalha contínua contra a publicidade fraudulenta e o compromisso do Google em manter a integridade dos anúncios.
