Новая фишинговая атака нацелена на SEO-специалистов, используя вредоносные объявления Semrush в Google Ads для кражи учетных данных Google.
По данным исследователя Malwarebytes Джерома Сегуры и SEO-стратега Эли Берреби, злоумышленники стремятся получить доступ к аккаунтам Google Ads, чтобы запускать новые кампании с вредоносной рекламой.
Киберпреступники используют бренд Semrush — известную SaaS-платформу для SEO, интернет-рекламы и контент-маркетинга. Semrush востребован среди маркетологов, рекламодателей и крупных компаний, включая 40% списка Fortune 500.
Поскольку Semrush интегрируется с Google Analytics и Google Search Console, пользователи связывают с ним учетные записи Google, содержащие бизнес-данные — финансовые показатели, маркетинговые стратегии и аналитику поведения клиентов. Эти сведения представляют ценность для киберпреступников.
По словам Берреби, за атакой стоит бразильская хакерская группа, специализирующаяся на взломе SaaS-платформ и использующая продвинутые методы.
«Главная цель — учетные записи Google, но данные SaaS также представляют интерес», — объясняет он.
«Если ранее была привязка к корпоративному аккаунту Google, есть риск утечки данных, даже если сама учетная запись не скомпрометирована».
Как работает мошенническая кампания
Киберпреступники размещают в Google Ads объявления, которые выглядят как официальные ссылки на Semrush. Пользователь, вводя релевантный запрос, видит фейковую рекламу и переходит на поддельный сайт, похожий на настоящий Semrush, но с измененным доменом верхнего уровня.
Примеры фишинговых доменов:
- semrush[.]click
- semrush[.]tech
- auth.seem-rush[.]com
- semrush-pro[.]co
- sem-rushh[.]com
Новая фишинговая атака на SEO-специалистов через Semrush в Google Ads
Большинство этих сайтов остаются активными, но не всегда загружают фишинговые страницы, что может свидетельствовать о таргетировании по геолокации или другим критериям.
Поддельный сайт копирует интерфейс Semrush, но требует входа исключительно через Google. После ввода учетных данных они сразу отправляются мошенникам.
Так как многие аккаунты Semrush связаны с Google Analytics и Google Search Console, хакеры могут получить доступ к ценным данным, даже не взламывая сам Semrush.
Вредоносная кампания DollyWay инициировала массовые взломы сайтов WordPress
