Google Ads Malvertising bluff
Cybersäkerhetsforskare har avslöjat en ny malvertisingkampanj riktad mot individer och företag som annonserar via Google Ads. Det här upplägget involverar vilseledande annonser som utger sig för att vara Google Ads själv, och lockar offer i nätfiskefällor som är utformade för att stjäla deras autentiseringsuppgifter.
Innehållsförteckning
Siktar på kontoövertagande
Angriparnas primära mål är att kapa så många Google Ads-konton som möjligt. Genom att omdirigera offer till falska inloggningssidor stjäl de autentiseringsuppgifter som kan återanvändas för att utöka deras kampanjer. Dessutom säljs dessa förskingrade konton sannolikt på underjordiska forum. Rapporter om Reddit, Bluesky och Googles supportforum indikerar att denna aktivitet har pågått sedan åtminstone mitten av november 2024.
Likheter med Facebook Business Account Tactics
Den taktik som används i den här kampanjen liknar den som användes i tidigare attacker mot Facebooks företags- och reklamkonton. I dessa fall använde cyberbrottslingar skadlig programvara för att få obehörig åtkomst och använda de kapade kontona för falska reklamkampanjer som ytterligare spred skadlig programvara.
Sökmotorexploatering och omdirigeringstaktik
Hotaktörerna har utformat sin kampanj för att dyka upp när användare söker efter "Google Ads" på Googles sökmotor. Genom att klicka på dessa bedrägliga annonser leder användare till nätfiskewebbplatser som finns på Google Sites. Dessa webbplatser dirigerar sedan besökare till externa nätfiskesidor som registrerar inloggningsuppgifter och 2FA-koder (Two-Factor Authentication). Den insamlade informationen överförs sedan via WebSocket till en extern server som hanteras av angriparna.
Utnyttja Google Ads URL-policyer
En nyckelstrategi som möjliggör denna attack är Google Ads policy som tillåter att den slutliga webbadressen (målsidan efter att du klickar på en annons) skiljer sig från visningsadressen så länge domänerna matchar. Detta kryphål gör det möjligt för angripare att vara värd för mellanliggande nätfiskesidor på Google Sites samtidigt som de visar webbadresser som verkar vara legitima Google Ads-länkar.
Avancerade undanflyktstekniker
För att undvika upptäckt använder angriparna flera tekniker, inklusive fingeravtryck, antibot-detektering, cloaking, CAPTCHA-inspirerade beten och fördunklingsmetoder som döljer den sanna naturen hos deras nätfiskeinfrastruktur. Dessa taktiker hjälper dem att kringgå säkerhetsåtgärder och undvika att bli flaggade av automatiserade system.
Vapengöra intrång i konton
När ett konto har äventyrats loggar angripare in, lägger till en ny administratör och utnyttjar offrets annonsbudget för att köra bedrägliga Google Ads. Detta tillåter dem att utöka sin nätfiskeverksamhet ytterligare, vilket skapar en cykel där kapade konton används för att locka in ännu fler offer.
Möjliga länkar till Brasilien-baserade hotaktörer
Bevis tyder på att flera individer eller grupper ligger bakom dessa kampanjer. Anmärkningsvärt är att många av dem är portugisisktalande och troligen verksamma från Brasilien. Nätfiskeinfrastrukturen använder mellanliggande domäner med Portugals .pt-toppdomän (TLD), vilket ytterligare stödjer denna hypotes.
Googles svar på bedrägliga annonser
Google har erkänt dessa illvilliga kampanjer och övervakar aktivt sitt annonsnätverk för att förhindra missbruk. Företaget tillämpar strikta åtgärder mot vilseledande annonsörer som försöker vilseleda användare om deras företag, produkter eller tjänster.
Miljarder annonser har tagits bort för att bekämpa hot
Bara under 2023 tog Google bort över 3,4 miljarder annonser, begränsade mer än 5,7 miljarder annonser och stängde av cirka 5,6 miljoner annonsörskonton. Av dessa blockerades 206,5 miljoner annonser uttryckligen för att de bröt mot Googles policy för felaktig framställning. Dessa siffror belyser den pågående kampen mot bedräglig reklam och Googles engagemang för att upprätthålla annonsintegriteten.
