Гоогле Адс превара у вези са злонамерним оглашавањем
Истраживачи сајбер безбедности открили су нову кампању злонамерног оглашавања која циља појединце и предузећа која се оглашавају преко Гоогле Адс-а. Ова шема укључује обмањујуће огласе који опонашају сам Гоогле Адс, маме жртве у замке за крађу идентитета осмишљене да украду њихове акредитиве.
Преглед садржаја
Циљ преузимања налога
Примарни циљ нападача је да отму што више Гоогле Адс налога. Преусмеравајући жртве на лажне странице за пријављивање, они краду акредитиве који би се могли поново користити за проширење њихових кампања. Поред тога, ови незаконито присвојени налози се вероватно продају на подземним форумима. Извештаји на форумима за подршку Реддит, Блуески и Гоогле указују на то да је ова активност у току најмање од средине новембра 2024.
Сличности са тактиком Фацебоок пословног налога
Тактике коришћене у овој кампањи веома личе на оне које су коришћене у прошлим нападима усмереним на Фацебоок пословне и рекламне налоге. У тим случајевима, сајбер криминалци су применили малвер за крађу да би добили неовлашћени приступ и користили отете налоге за лажне рекламне кампање које даље шире малвер.
Тактике експлоатације претраживача и преусмеравања
Актери претњи су осмислили своју кампању тако да се појави када корисници претражују „Гоогле Адс“ на Гоогле-овом претраживачу. Клик на ове лажне огласе води кориснике до сајтова за „пецање“ хостованих на Гоогле сајтовима. Ови сајтови затим усмеравају посетиоце на спољне пхисхинг странице које бележе акредитиве за пријаву и кодове за аутентификацију са два фактора (2ФА). Прикупљени подаци се затим преносе преко ВебСоцкета на спољни сервер којим управљају нападачи.
Коришћење смерница за УРЛ адресу Гоогле Адс-а
Једна кључна стратегија која омогућава овај напад су Гоогле Адс смернице које дозвољавају да се крајњи УРЛ (одредишна страница након клика на оглас) разликује од приказаног УРЛ-а све док се домени подударају. Ова рупа у закону омогућава нападачима да хостују посредничке странице за „пецање“ на Гоогле сајтовима док приказују УРЛ-ове који изгледају као легитимне Гоогле Адс везе.
Напредне технике избегавања
Да би избегли откривање, нападачи користе неколико техника, укључујући узимање отисака прстију, детекцију анти-бота, маскирање, мамце инспирисане ЦАПТЦХА-ом и методе замагљивања које прикривају праву природу њихове пхисхинг инфраструктуре. Ове тактике им помажу да заобиђу безбедносне мере и избегну да буду означени од стране аутоматизованих система.
Оружавање компромитованих налога
Када је налог компромитован, нападачи се пријављују, додају новог администратора и искоришћавају огласни буџет жртве за покретање лажног Гоогле Адс-а. Ово им омогућава да даље прошире своје операције пхисхинга, стварајући циклус у којем се отети налози користе за привлачење још већег броја жртава.
Могуће везе са актерима претњи из Бразила
Докази сугеришу да иза ових кампања стоји више појединаца или група. Значајно је да многи од њих говоре португалски и вероватно раде из Бразила. Инфраструктура за крађу идентитета користи посредничке домене са португалским .пт доменом највишег нивоа (ТЛД), што додатно подржава ову хипотезу.
Гоогле-ов одговор на лажне огласе
Гоогле је признао ове злонамерне кампање и активно надгледа своју огласну мрежу како би спречио злоупотребу. Компанија спроводи строге мере против обмањујућих оглашивача који покушавају да обману кориснике о свом пословању, производима или услугама.
Милијарде реклама уклоњене ради борбе против претњи
Само у 2023. Гоогле је уклонио преко 3,4 милијарде огласа, ограничио више од 5,7 милијарди реклама и суспендовао приближно 5,6 милиона налога оглашивача. Од тога, 206,5 милиона огласа је изричито блокирано због кршења Гоогле-ових смерница о лажном представљању. Ове бројке наглашавају текућу битку против лажног оглашавања и Гоогле-ову посвећеност одржавању интегритета огласа.
