Мошенничество с вредоносной рекламой Google Ads
Исследователи кибербезопасности обнаружили новую вредоносную рекламную кампанию, нацеленную на отдельных лиц и компании, которые размещают рекламу через Google Ads. Эта схема включает в себя обманчивые объявления, которые выдают себя за Google Ads, заманивая жертв в фишинговые ловушки, предназначенные для кражи их учетных данных.
Оглавление
Нацеленность на захват аккаунта
Основная цель злоумышленников — захватить как можно больше аккаунтов Google Ads. Перенаправляя жертв на поддельные страницы входа, они крадут учетные данные, которые можно повторно использовать для расширения своих кампаний. Кроме того, эти незаконно присвоенные аккаунты, вероятно, продаются на подпольных форумах. Отчеты на Reddit, Bluesky и форумах поддержки Google указывают на то, что эта деятельность продолжается как минимум с середины ноября 2024 года.
Сходства с тактиками бизнес-аккаунта Facebook
Тактика, используемая в этой кампании, очень похожа на тактику, которая использовалась в прошлых атаках, нацеленных на корпоративные и рекламные аккаунты Facebook. В тех случаях киберпреступники использовали вредоносное ПО для кражи, чтобы получить несанкционированный доступ и использовать взломанные аккаунты для поддельных рекламных кампаний, которые еще больше распространяли вредоносное ПО.
Эксплуатация поисковых систем и тактика перенаправления
Злоумышленники разработали свою кампанию так, чтобы она появлялась, когда пользователи ищут «Google Ads» в поисковой системе Google. Нажатие на эти мошеннические объявления приводит пользователей на фишинговые сайты, размещенные на Google Sites. Затем эти сайты направляют посетителей на внешние фишинговые страницы, которые перехватывают учетные данные для входа и коды двухфакторной аутентификации (2FA). Собранные данные затем передаются через WebSocket на внешний сервер, управляемый злоумышленниками.
Использование политик URL-адресов Google Ads
Одной из ключевых стратегий, позволяющих эту атаку, является политика Google Ads, которая позволяет конечному URL (странице назначения после нажатия на рекламу) отличаться от отображаемого URL, если домены совпадают. Эта лазейка позволяет злоумышленникам размещать промежуточные фишинговые страницы на Google Sites, одновременно отображая URL, которые выглядят как легитимные ссылки Google Ads.
Продвинутые методы уклонения
Чтобы избежать обнаружения, злоумышленники используют несколько методов, включая дактилоскопию, обнаружение антиботов, маскировку, приманки в стиле CAPTCHA и методы обфускации, которые скрывают истинную природу их фишинговой инфраструктуры. Эти тактики помогают им обходить меры безопасности и избегать пометки автоматизированными системами.
Использование взломанных аккаунтов в качестве оружия
После взлома аккаунта злоумышленники входят в систему, добавляют нового администратора и используют рекламный бюджет жертвы для запуска мошеннических объявлений Google. Это позволяет им еще больше расширить свои фишинговые операции, создавая цикл, в котором взломанные аккаунты используются для привлечения еще большего количества жертв.
Возможные связи с бразильскими злоумышленниками
Факты свидетельствуют о том, что за этими кампаниями стоят несколько лиц или групп. Примечательно, что многие из них являются португалоговорящими и, вероятно, действуют из Бразилии. Инфраструктура фишинга использует промежуточные домены с португальским доменом верхнего уровня (TLD) .pt, что еще больше подтверждает эту гипотезу.
Ответ Google на мошенническую рекламу
Google признал эти злонамеренные кампании и активно отслеживает свою рекламную сеть, чтобы предотвратить злоупотребления. Компания применяет строгие меры против обманчивых рекламодателей, которые пытаются ввести пользователей в заблуждение относительно своего бизнеса, продуктов или услуг.
Миллиарды рекламных объявлений удалены для борьбы с угрозами
Только в 2023 году Google удалил более 3,4 млрд объявлений, ограничил более 5,7 млрд объявлений и заблокировал около 5,6 млн аккаунтов рекламодателей. Из них 206,5 млн объявлений были явно заблокированы за нарушение Политики Google в отношении искажения информации. Эти цифры подчеркивают продолжающуюся борьбу с мошеннической рекламой и приверженность Google поддержанию целостности рекламы.
