Útočníci spouštějí reklamy ve Vyhledávání Google, které se vydávají za Google Ads, a zobrazují se jako sponzorované výsledky, které přesměrovávají potenciální oběti na falešné přihlašovací stránky hostované na Google Sites. Tyto stránky vypadají jako oficiální domovská stránka Google Ads, kde jsou oběti vyzvány k přihlášení ke svým účtům.
Google Sites je využíván k hostování phishingových stránek, protože umožňuje útočníkům maskovat své falešné reklamy. URL (sites.google.com) odpovídá kořenové doméně Google Ads, což umožňuje dokonalou imitaci.
„Skutečně nemůžete zobrazit URL v reklamě, pokud vaše cílová stránka (konečná URL) neodpovídá stejnému názvu domény. I když je to pravidlo určené k ochraně před zneužitím a napodobováním, je velmi snadné ho obejít,“ uvedl Jérôme Segura, seniorní ředitel výzkumu v Malwarebytes. „Při pohledu na reklamu a stránku na Google Sites vidíme, že tato škodlivá reklama přísně neporušuje pravidlo, protože sites.google.com používá stejnou kořenovou doménu jako ads.google.com. Jinými slovy, je povoleno zobrazit tuto URL v reklamě, což ji činí nerozeznatelnou od stejné reklamy vydané společností Google LLC.“ dodal
Podle lidí, kteří buď padli za oběť těmto útokům, nebo je viděli v akci, zahrnují útoky několik fází:
- Oběť zadá své přihlašovací údaje ke Google účtu na phishingové stránce.
- Phishingový kit shromáždí jedinečné identifikátory, cookies a přihlašovací údaje.
- Oběť může obdržet e-mail upozorňující na přihlášení z neobvyklého místa (např. Brazílie).
- Pokud oběť nezastaví tento pokus, je do účtu Google Ads přidán nový administrátor prostřednictvím jiné Gmailové adresy.
- Útočník začne utrácet peníze a pokud může, zablokuje oběti přístup k účtu.
Za těmito útoky stojí minimálně tři skupiny kyberzločinců, včetně portugalsky mluvících útočníků pravděpodobně operujících z Brazílie, aktérů z Asie využívajících inzerentské účty z Hongkongu (nebo Číny) a třetí skupiny, která pravděpodobně pochází z východní Evropy.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
