Experti v oblasti kybernetické bezpečnosti upozornili na novou kampaň zaměřenou na malware, která cílí na jednotlivce a firmy inzerující prostřednictvím Google Ads. Cílem je získat jejich přihlašovací údaje prostřednictvím podvodných reklam na Googlu.
„Schéma spočívá v krádeži co největšího počtu účtů inzerentů tím, že se útočníci vydávají za Google Ads a přesměrovávají oběti na falešné přihlašovací stránky,“ uvedl Jérôme Segura, seniorní ředitel pro zpravodajství o hrozbách ve společnosti Malwarebytes.
Předpokládá se, že konečným cílem kampaně je znovu použít ukradené přihlašovací údaje k dalšímu šíření kampaní, přičemž tyto údaje jsou také prodávány dalším kriminálním aktérům na podzemních fórech. Podle příspěvků sdílených na Redditu, Bluesky a vlastních podpůrných fórech Googlu je tato hrozba aktivní minimálně od poloviny listopadu 2024.
Tato aktivita je velmi podobná kampaním, které využívají malware ke krádeži dat souvisejících s reklamními a obchodními účty na Facebooku, aby je mohly převzít a použít k šíření dalších malvertisingových kampaní, které dále šíří malware.
Nově identifikovaná kampaň se konkrétně zaměřuje na uživatele, kteří na Googlu vyhledávají „Google Ads“. Těmto uživatelům jsou zobrazovány falešné reklamy na Google Ads, které po kliknutí přesměrovávají na podvodné stránky hostované na Google Sites.
Tyto stránky pak slouží jako přistávací stránky, které návštěvníky vedou na externí phishingové stránky navržené k zachycení jejich přihlašovacích údajů a dvoufaktorových autentizačních (2FA) kódů prostřednictvím WebSocketu. Tyto údaje jsou následně odesílány na vzdálený server pod kontrolou útočníků.
„Falešné reklamy na Google Ads pocházejí od různých jednotlivců a firem na různých místech,“ uvedl Segura. „Některé z těchto účtů již měly spuštěny stovky dalších legitimních reklam.“
Jedním z důmyslných aspektů kampaně je využití skutečnosti, že Google Ads nevyžaduje, aby konečná URL adresa – webová stránka, na kterou uživatelé přejdou po kliknutí na reklamu – byla stejná jako zobrazovaná URL adresa, pokud se domény shodují.
To umožňuje útočníkům hostovat své mezilehlé přistávací stránky na sites.google[.]com, přičemž zobrazovaná URL zůstává ads.google[.]com. Kromě toho modus operandi zahrnuje použití technik, jako je fingerprinting, detekce anti-bot provozu, lákadlo inspirované CAPTCHA, maskování a obfuskace, aby byla phishingová infrastruktura skryta.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
