Шахрайство Google Ads із зловмисною рекламою
Дослідники з кібербезпеки виявили нову рекламну кампанію, націлену на окремих осіб і компанії, які розміщують рекламу через Google Ads. Ця схема передбачає оманливу рекламу, яка видає себе за Google Ads, заманюючи жертв у фішингові пастки, призначені для викрадення їхніх облікових даних.
Зміст
Прагнення заволодіти обліковим записом
Головна мета зловмисників – захопити якомога більше облікових записів Google Ads. Перенаправляючи жертв на підроблені сторінки входу, вони викрадають облікові дані, які можуть бути повторно використані для розширення своїх кампаній. Крім того, ці незаконно привласнені облікові записи, ймовірно, продаються на підпільних форумах. Звіти на Reddit, Bluesky та форумах підтримки Google свідчать, що ця діяльність триває щонайменше з середини листопада 2024 року.
Подібності до тактики бізнес-акаунтів Facebook
Тактика, використана в цій кампанії, дуже нагадує тактику, яка застосовувалася під час попередніх атак на бізнес-акаунти та рекламні облікові записи Facebook. У цих випадках кіберзлочинці використовували зловмисне програмне забезпечення для крадіїв, щоб отримати несанкціонований доступ і використовувати зламані облікові записи для фальшивих рекламних кампаній, які далі поширюють зловмисне програмне забезпечення.
Експлуатація пошукової системи та тактика перенаправлення
Зловмисники розробили свою кампанію так, щоб вона з’являлася, коли користувачі шукають "Google Ads" у пошуковій системі Google. Натискання цих шахрайських оголошень спрямовує користувачів на фішингові сайти, розміщені на Google Sites. Потім ці сайти спрямовують відвідувачів на зовнішні фішингові сторінки, які фіксують облікові дані для входу та коди двофакторної автентифікації (2FA). Потім зібрані дані передаються через WebSocket на зовнішній сервер, яким керують зловмисники.
Використання політики щодо URL-адрес Google Ads
Однією з ключових стратегій, що сприяють цій атаці, є політика Google Ads, яка дозволяє кінцевій URL-адресі (цільовій сторінці після натискання оголошення) відрізнятися від відображуваної URL-адреси, якщо домени збігаються. Ця лазівка дозволяє зловмисникам розміщувати проміжні фішингові сторінки на Google Sites, одночасно відображаючи URL-адреси, які виглядають як законні посилання Google Ads.
Передові методи ухилення
Щоб уникнути виявлення, зловмисники використовують кілька методів, зокрема сканування відбитків пальців, виявлення анти-ботів, маскування, приманки на основі CAPTCHA та методи обфускації, які приховують справжню природу їхньої фішингової інфраструктури. Ця тактика допомагає їм обійти заходи безпеки та уникнути позначення автоматизованих систем.
Використання зламаних облікових записів у вигляді зброї
Коли обліковий запис зламано, зловмисники входять у систему, додають нового адміністратора та використовують рекламний бюджет жертви для запуску шахрайських Google Ads. Це дозволяє їм ще більше розширити свої фішингові операції, створюючи цикл, у якому зламані облікові записи використовуються для заманювання ще більшої кількості жертв.
Можливі зв’язки з бразильськими загрозливими акторами
Докази свідчать про те, що за цими кампаніями стоять кілька осіб або груп. Примітно, що багато з них розмовляють португальською мовою і, ймовірно, працюють з Бразилії. Фішингова інфраструктура використовує домени-посередники з доменом верхнього рівня (TLD) Португалії .pt, що додатково підтверджує цю гіпотезу.
Реакція Google на шахрайську рекламу
Google визнав ці зловмисні кампанії та активно відстежує свою рекламну мережу, щоб запобігти зловживанням. Компанія вживає суворих заходів проти шахрайських рекламодавців, які намагаються ввести користувачів в оману щодо свого бізнесу, продуктів або послуг.
Мільярди рекламних оголошень видалено для боротьби із загрозами
Лише у 2023 році Google видалив понад 3,4 мільярда оголошень, обмежив понад 5,7 мільярда реклами та призупинив приблизно 5,6 мільйонів облікових записів рекламодавців. З них 206,5 мільйонів оголошень було явно заблоковано за порушення політики Google щодо введення в оману. Ці цифри підкреслюють постійну боротьбу проти шахрайської реклами та зобов’язання Google підтримувати цілісність реклами.
