Sahte semrush reklamları yoluyla Google hesap kimlik bilgilerini hedefleyen gelişmiş bir kimlik avı kampanyası ortaya çıktı ve dijital pazarlamacılar ve SEO profesyonelleri için önemli bir tehdit oluşturdu.
Siber suçlular, Google arama sonuçlarında meşru görünen çok sayıda kötü amaçlı reklam kullandı ve Semrush’ın SEO endüstrisindeki popülaritesini şüphesiz kurbanları cezbetti.
.webp)
Bu hileli reklamlar, kullanıcıları Google hesaplarıyla kimlik doğrulaması yapmaları istenen semrush giriş sayfasının kopyalarını ikna etmeye yönlendirir.
Saldırı, özellikle SEO ve pazarlama platformlarını kullanan profesyonelleri hedeflediği ve saldırganlara değerli iş analizlerine ve rekabetçi zekaya erişim sağladığı için kimlik avı taktiklerinde ilgili bir evrimi temsil ediyor.
Mağdurlar bu aldatıcı reklamlara tıkladıklarında, Semrush’ın otantik giriş arayüzünü yakından taklit eden kimlik avı sayfasına inmeden önce bir alan zinciri aracılığıyla yönlendirilirler.
.webp)
Saldırganlar, bu sayfaları, yanlış bir güvenlik duygusu yaratan uygun şekilde biçimlendirilmiş logolar, düzen ve mesajlaşma da dahil olmak üzere meşru görünecek şekilde titizlikle tasarladılar.
Malwarebebytes araştırmacıları, bu kampanyanın daha önce Google ADS hesaplarını bu yılın başlarında Google sitelerini kullanarak hedefleyen aynı tehdit aktörleri tarafından işletildiğini belirledi.
Güvenlik araştırmacısı Jérôme Segura, altyapı analizinde “Arkasındaki suçluların muhtemelen yeniden gruplandığına ve daha az doğrudan bir yaklaşıma geçtiklerine inanıyoruz” dedi.
.webp)
Araştırmacılar, kimlik avı sayfasının hem standart oturum açma seçeneklerini hem de “Google ile giriş” düğmelerini görüntülerken, yalnızca Google kimlik doğrulama seçeneğinin etkin olduğunu keşfettiler.
Saldırganlar, Semrush.tech, Semrush-Pro.click, ads-semrush.com ve semrush.works dahil olmak üzere Semrush adındaki tüm varyasyonlar olan kapsamlı bir kötü amaçlı alan adı ağı oluşturdular.
Her reklam, sahte oturum açma sayfalarına adanmış daha statik alanlara yönlendiren benzersiz bir etki alanı kullanır, algılama ve yayından kaldırmayı daha zorlaştırır.
Teknik altyapı
Saldırı zincirinin incelenmesi, sofistike bir çok aşamalı yönlendirme sürecini ortaya çıkarır.
Bir kurban bu kötü niyetli reklamlardan birini tıkladığında, ilk olarak ikincil bir kimlik avı alanına (örn., SEM-rushh.com) yönlendirmeden önce 200 durum kodu döndüren bir birincil alana (örneğin, semrush.works/?gad_source=1&gclid=…) gönderilir.
.webp)
Bu ikincil etki alanı, Google kimlik doğrulama seçeneğini belirgin bir şekilde içeren ikna edici semrush markalı açılış sayfasını barındırır.
Kimlik avı formu kimlik bilgilerini yakalar ve bunları saldırganların sunucularına iletirken, kullanıcılara meşruiyet yanılsamasını korumak için ikna edici hata mesajları veya yönlendirmeler sunar.
Bu özenle inşa edilmiş aldatma zinciri, iş açısından kritik platformları ve kimlik bilgilerini hedefleyen modern kimlik avı operasyonlarının artan karmaşıklığını göstermektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free