Criminalii cibernetici folosesc acum anunțurile Google Search pentru a promova site-uri de phishing care fură credențialele advertiserilor pentru platforma Google Ads.
Atacatorii rulează anunțuri pe Google Search impersonând Google Ads, apărând ca rezultate sponsorizate care redirecționează potențialele victime către pagini de autentificare false găzduite pe Google Sites, dar care arată ca pagina oficială Google Ads, unde li se cere să își autentifice conturile.
Google Sites este folosit pentru a găzdui pagini de phishing deoarece le permite atacatorilor să își camufleze anunțurile false, deoarece URL-ul (sites.google.com) se potrivește cu domeniul de bază Google Ads pentru o impersonare completă.
„Într-adevăr, nu poți afișa un URL într-un anunț decât dacă pagina ta de destinație (URL-ul final) se potrivește cu același nume de domeniu. Deși aceasta este o regulă menită să protejeze împotriva abuzului și a impersonării, este una foarte ușor de ocolit,” a declarat Jérôme Segura, Director Senior de Cercetare la Malwarebytes.
„Uitându-ne la anunț și la pagina Google Sites, vedem că acest anunț malefic nu încalcă strict regula deoarece sites.google.com folosește aceleași domenii de bază ca și ads.google.com. Cu alte cuvinte, este permis să afișeze acest URL în anunț, făcându-l astfel deosebit de similar cu același anunț emis de Google LLC.”
Potrivit persoanelor care au căzut victimă ale acestor atacuri sau le-au văzut în acțiune, atacurile includ mai multe etape:
Cel puțin trei grupuri de criminalitate cibernetică se află în spatele acestor atacuri, inclusiv vorbitori de limbă portugheză care cel mai probabil operează din Brazilia, actori de amenințare cu sediul în Asia care folosesc conturi de advertiser din Hong Kong (sau din China) și o a treia bandă probabil formată din est-europeni.
Laboratoarele Malwarebytes, care au observat această campanie în desfășurare, cred că obiectivul final al criminalilor este de a vinde conturile furate pe forumurile de hacking și de a folosi unele dintre ele pentru a desfășura atacuri viitoare folosind aceleași tehnici de phishing.
„Aceasta este cea mai gravă operațiune de publicitate malitioasă pe care am urmărit-o vreodată, ajungând la inima afacerii Google și afectând probabil mii de clienți din întreaga lume. Am raportat incidente noi non-stop și tot identificăm altele noi, chiar și în momentul publicării acestui articol,” a adăugat Segura.
„În mod ironic, este destul de posibil ca persoanele și afacerile care rulează campanii publicitare să nu folosească un blocant de anunțuri (pentru a-și vedea propriile anunțuri și cele ale competitorilor lor), făcându-i astfel și mai susceptibili să cadă în aceste scheme de phishing.”
Conturile Google Ads furate sunt extrem de căutate de către criminalii cibernetici, care le folosesc în mod regulat ca combustibil în alte atacuri care abuzează și ele de anunțurile de căutare Google pentru a distribui malware și diverse scheme de înșelăciune.
„Interzicem în mod expres anunțurile care își propun să înșele oamenii pentru a le fura informațiile sau pentru a-i înșela. Echipele noastre investighează activ această problemă și lucrează rapid pentru a o rezolva,” a declarat Google pentru BleepingComputer atunci când a fost întrebat să ofere mai multe detalii despre atacuri.
Pe parcursul anului 2023, Google a blocat sau eliminat, de asemenea, 206,5 milioane de anunțuri care încălcau Politica sa privind Reprezentarea greșită. De asemenea, a eliminat peste 3,4 miliarde de anunțuri, a restricționat peste 5,7 miliarde și a suspendat peste 5,6 milioane de conturi de advertiseri.
Google OAuth flaw lets attackers gain access to abandoned accounts
Phishing texts trick Apple iMessage users into disabling protection
Criminal IP: Bringing Real-Time Phishing Detection to Microsoft Outlook
New details reveal how hackers hijacked 35 Google Chrome extensions
Microsoft Bing shows misleading Google-like page for ‘Google’ searches
Leave a Reply