Siber güvenlik araştırmacıları, Google’daki sahte reklamlar yoluyla kimlik bilgilerini ele geçirmeye çalışan bireyleri ve işletmeleri, Google Ads aracılığıyla reklam veren yeni bir kötü amaçlı reklam kampanyasına karşı uyardı.
Malwarebytes Tehdit İstihbaratı Kıdemli Direktörü Jérôme Segura, “Bu plan, Google Ads’ün kimliğine bürünerek ve kurbanları sahte giriş sayfalarına yönlendirerek mümkün olduğu kadar çok reklamveren hesabının çalınmasını içeriyor” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
Kampanyanın nihai hedefinin, çalınan kimlik bilgilerini kampanyaları daha da sürdürmek için yeniden kullanmak ve aynı zamanda bunları yeraltı forumlarındaki diğer suç aktörlerine satmak olduğundan şüpheleniliyor. dayalı gönderiler Paylaşıldı Açık Reddit, Mavi gökyüzüve Google’ın kendi destek forumlarıTehdit en azından Kasım 2024’ün ortasından beri aktif.
Etkinlik kümesi, Facebook reklamları ve işletme hesaplarıyla ilgili verileri çalmak ve bu hesapları ele geçirmek ve kötü amaçlı yazılımı daha da yayan kötü amaçlı reklam kampanyaları için hesapları kullanmak amacıyla hırsız kötü amaçlı yazılımdan yararlanan kampanyalara çok benzer.
Yeni tanımlanan kampanya, Google Ads için sahte reklamlar sunmak üzere Google’ın kendi arama motorunda Google Ads araması yapan kullanıcıları özellikle öne çıkarıyor; bu reklamlar, tıklandığında kullanıcıları Google Sites’ta barındırılan sahte sitelere yönlendiriyor.
Bu siteler daha sonra ziyaretçileri, bir WebSocket aracılığıyla kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını yakalamak üzere tasarlanmış ve saldırganın kontrolü altındaki uzak bir sunucuya sızan harici kimlik avı sitelerine yönlendirmek için açılış sayfaları görevi görür.
Segura, “Google Ads’e yönelik sahte reklamlar, çeşitli yerlerdeki çeşitli kişilerden ve işletmelerden (bölgesel bir havaalanı dahil) geliyor” dedi. “Bu hesapların bazılarında zaten yüzlerce meşru reklam yayınlanıyordu.”
Kampanyanın ustaca bir yönü, Google Ads’ün avantajlarından yararlanmasıdır. gerektirmez Nihai URL’nin (kullanıcıların reklamı tıkladıklarında ulaştıkları web sayfası), alanlar eşleştiği sürece görünen URL ile aynı olması.
Bu, tehdit aktörlerinin ara açılış sayfalarını sites.google’da barındırmasına olanak tanır.[.]com, görünen URL’leri ads.google olarak korurken[.]com. Dahası, işleyiş şekli parmak izi alma, anti-bot trafiği algılama, CAPTCHA’dan ilham alan bir tuzak, gizleme ve kimlik avı altyapısını gizlemek için şaşırtma gibi tekniklerin kullanılmasını gerektirir.
Malwarebytes, toplanan kimlik bilgilerinin daha sonra kurbanın Google Ads hesabında oturum açmak, yeni bir yönetici eklemek ve harcama bütçelerini sahte Google reklamları için kullanmak amacıyla kötüye kullanıldığını söyledi.
Başka bir deyişle, tehdit aktörleri, dolandırıcılığı daha da sürdürmek için kullanılan, giderek büyüyen saldırıya uğramış hesap havuzuna yeni kurbanlar eklemek amacıyla kendi reklamlarını yayınlamak için Google Ads hesaplarını ele geçiriyor.
Segura, “Bu kampanyaların arkasında birkaç kişi veya grup var gibi görünüyor” dedi. “Özellikle bunların çoğunluğu Portekizce konuşuyor ve muhtemelen Brezilya dışında faaliyet gösteriyor. Kimlik avı altyapısı, Portekiz’i gösteren .pt üst düzey alan adına (TLD) sahip ara alan adlarına dayanıyor.”
“Bu kötü niyetli reklam etkinliği Google’ın reklam kuralları. Tehdit aktörlerinin reklamlarında sahte URL’ler göstermelerine izin verilir, bu da onları meşru sitelerden ayırt edilemez hale getirir. Google, güvenlikleri sağlanana kadar bu tür hesapları dondurmak için kesin adımlar attığını henüz göstermedi.”
Açıklama, Trend Micro’nun, saldırganların popüler yazılımların korsan sürümleri için sahte yükleyicilere bağlantılar dağıtmak amacıyla YouTube ve SoundCloud gibi platformları kullandığını ve sonuçta Amadey, Lumma Stealer, Mars Stealer, Penguish gibi çeşitli kötü amaçlı yazılım ailelerinin yayılmasına yol açtığını ortaya çıkarmasıyla geldi. , PrivateLoader ve Vidar Stealer.
Şirket, “Tehdit aktörleri, kötü amaçlı yazılımlarının kaynağını gizlemek ve tespit ve kaldırma işlemlerini zorlaştırmak için genellikle Mediafire ve Mega.nz gibi saygın dosya barındırma hizmetlerini kullanıyor.” söz konusu. “Kötü amaçlı indirmelerin çoğu parolayla korunuyor ve kodlanıyor; bu da korumalı alanlar gibi güvenlik ortamlarında analizi zorlaştırıyor ve kötü amaçlı yazılımların erken tespitten kaçmasına olanak tanıyor.”
