Google Ads Malvertising Scam
Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong malvertising campaign na nagta-target sa mga indibidwal at negosyong nag-a-advertise sa pamamagitan ng Google Ads. Ang pamamaraang ito ay nagsasangkot ng mga mapanlinlang na ad na nagpapanggap mismo sa Google Ads, na naghihikayat sa mga biktima sa mga phishing traps na idinisenyo upang nakawin ang kanilang mga kredensyal.
Talaan ng mga Nilalaman
Naglalayon para sa Account Takeover
Ang pangunahing layunin ng mga umaatake ay i-hijack ang pinakamaraming Google Ads account hangga't maaari. Sa pamamagitan ng pag-redirect ng mga biktima sa mga pekeng pahina sa pag-log in, nagnanakaw sila ng mga kredensyal na maaaring magamit muli upang palawakin ang kanilang mga kampanya. Bukod pa rito, malamang na ibinebenta ang mga maling account na ito sa mga underground na forum. Ang mga ulat sa Reddit, Bluesky, at mga forum ng suporta ng Google ay nagpapahiwatig na ang aktibidad na ito ay nagpapatuloy mula pa noong kalagitnaan ng Nobyembre 2024.
Pagkakatulad sa Facebook Business Account Tactics
Ang mga taktika na ginamit sa kampanyang ito ay halos kahawig ng mga ginamit sa mga nakaraang pag-atake na nagta-target sa mga account sa negosyo at advertising sa Facebook. Sa mga kasong iyon, ang mga cybercriminal ay nag-deploy ng magnanakaw na malware upang makakuha ng hindi awtorisadong pag-access at gamitin ang mga na-hijack na account para sa mga pekeng kampanya sa advertising na higit na nagpapakalat ng malware.
Mga Taktika sa Pagsasamantala at Pag-redirect ng Search Engine
Idinisenyo ng mga aktor ng pagbabanta ang kanilang kampanya upang lumitaw kapag naghanap ang mga user ng "Google Ads" sa search engine ng Google. Ang pag-click sa mga mapanlinlang na ad na ito ay magdadala sa mga user sa mga phishing na site na naka-host sa Google Sites. Ang mga site na ito ay nagdidirekta ng mga bisita sa mga panlabas na pahina ng phishing na kumukuha ng mga kredensyal sa pag-log in at mga code ng Two-Factor Authentication (2FA). Ang nakolektang data ay ipinapadala sa pamamagitan ng WebSocket sa isang server sa labas na pinamamahalaan ng mga umaatake.
Paggamit ng Mga Patakaran sa URL ng Google Ads
Ang isang pangunahing diskarte na nagpapagana sa pag-atake na ito ay ang patakaran ng Google Ads na nagbibigay-daan sa final URL (ang patutunguhang page pagkatapos mag-click sa isang ad) na maging iba sa display URL hangga't tumutugma ang mga domain. Ang butas na ito ay nagbibigay-daan sa mga umaatake na mag-host ng mga intermediary na pahina ng phishing sa Google Sites habang nagpapakita ng mga URL na lumilitaw na mga lehitimong link ng Google Ads.
Mga Advanced na Teknik sa Pag-iwas
Para makaiwas sa pagtuklas, gumagamit ang mga umaatake ng ilang diskarte, kabilang ang fingerprinting, anti-bot detection, cloaking, CAPTCHA-inspired lures, at obfuscation na paraan na nagtatago sa tunay na katangian ng kanilang phishing infrastructure. Tinutulungan sila ng mga taktikang ito na lampasan ang mga hakbang sa seguridad at maiwasang ma-flag ng mga automated system.
Pagsasandatang Mga Nakompromisong Account
Sa sandaling nakompromiso ang isang account, mag-log in ang mga umaatake, magdagdag ng bagong administrator, at sasamantalahin ang badyet ng ad ng biktima upang magpatakbo ng mapanlinlang na Google Ads. Nagbibigay-daan ito sa kanila na palawakin pa ang kanilang mga operasyon sa phishing, na lumilikha ng cycle kung saan ginagamit ang mga na-hijack na account para mang-akit ng mas maraming biktima.
Mga Posibleng Link sa Brazil-Based Threat Actor
Iminumungkahi ng ebidensya na maraming indibidwal o grupo ang nasa likod ng mga kampanyang ito. Kapansin-pansin, marami sa kanila ay nagsasalita ng Portuges at malamang na tumatakbo sa labas ng Brazil. Ang imprastraktura ng phishing ay gumagamit ng mga intermediary domain na may .pt top-level domain (TLD) ng Portugal, na higit pang sumusuporta sa hypothesis na ito.
Ang Tugon ng Google sa Mga Mapanlinlang na Advertisement
Kinilala ng Google ang mga masasamang kampanyang ito at aktibong sinusubaybayan ang ad network nito upang maiwasan ang pang-aabuso. Ang kumpanya ay nagpapatupad ng mga mahigpit na hakbang laban sa mga mapanlinlang na advertiser na nagtatangkang linlangin ang mga user tungkol sa kanilang mga negosyo, produkto, o serbisyo.
Bilyun-bilyong Advertisement ang Inalis upang Labanan ang Mga Banta
Noong 2023 lamang, inalis ng Google ang mahigit 3.4 bilyong ad, pinaghigpitan ang higit sa 5.7 bilyong advertisement, at sinuspinde ang humigit-kumulang 5.6 milyong advertiser account. Sa mga ito, 206.5 milyong ad ang tahasang na-block dahil sa paglabag sa Patakaran sa Misrepresentation ng Google. Itinatampok ng mga figure na ito ang patuloy na labanan laban sa mapanlinlang na advertising at ang pangako ng Google sa pagpapanatili ng integridad ng ad.
