Исследователи в области кибербезопасности сообщили о новой вредоносной рекламной кампании, нацеленной на частных лиц и компании, размещающие рекламу через Google Ads, путем фишинга их учетных данных с помощью мошеннических объявлений в Google.
«Схема заключается в краже как можно большего количества аккаунтов рекламодателей путем выдачи себя за Google Ads и перенаправления жертв на поддельные страницы входа», — сообщил в отчете старший директор по анализу угроз в Malwarebytes Жером Сегура.
Подозревается, что конечной целью кампании является повторное использование украденных учетных данных для дальнейшего продолжения кампаний, а также продажа их другим преступникам на подпольных форумах. Судя по сообщениям, опубликованным на Reddit, Bluesky и собственных форумах поддержки Google, угроза была активна по крайней мере с середины ноября 2024 года.
Кластер активности во многом похож на кампании, в которых вредоносное ПО используется для кражи данных, связанных с рекламными и бизнес-аккаунтами Facebook, с целью их взлома и использования для кампаний по рассылке вредоносной рекламы, которые способствуют дальнейшему распространению вредоносного ПО.
Недавно обнаруженная кампания специально выявляет пользователей, которые ищут Google Ads в собственной поисковой системе Google, и показывает им фиктивные объявления Google Ads, при нажатии на которые пользователи перенаправляются на мошеннические сайты, размещенные на Google Sites.
Затем эти сайты служат целевыми страницами, направляющими посетителей на внешние фишинговые сайты, которые предназначены для перехвата их учетных данных и кодов двухфакторной аутентификации (2FA) через WebSocket и передачи их на удаленный сервер, находящийся под контролем злоумышленника.
«Поддельные объявления для Google Ads исходят от разных людей и компаний (включая региональный аэропорт) в разных местах», — сказал Сегура. «В некоторых из этих аккаунтов уже были сотни других законных объявлений».
Гениальным аспектом кампании является то, что она использует тот факт, что Google Ads не требует , чтобы конечный URL-адрес (веб-страница, на которую попадают пользователи при нажатии на объявление) совпадал с отображаемым URL-адресом, если домены совпадают.
Это позволяет злоумышленникам размещать свои промежуточные целевые страницы на sites.google[.]com, сохраняя отображаемые URL-адреса как ads.google[.]com. Более того, modus operandi подразумевает использование таких методов, как снятие отпечатков пальцев, обнаружение антибот-трафика, приманка на основе CAPTCHA, маскировка и обфускация для сокрытия фишинговой инфраструктуры.
По данным Malwarebytes, собранные учетные данные впоследствии используются для входа в аккаунт жертвы Google Ads, добавления нового администратора и использования ее бюджетов на поддельную рекламу Google.
Другими словами, злоумышленники захватывают аккаунты Google Ads, чтобы продвигать собственную рекламу и тем самым добавлять новых жертв в растущий список взломанных аккаунтов, которые используются для дальнейшего продолжения мошенничества.
