Siber güvenlik araştırmacıları, Google’daki sahte reklamlar yoluyla kimlik bilgilerini ele geçirmeye çalışan bireyleri ve işletmeleri, Google Ads aracılığıyla reklam veren yeni bir kötü amaçlı reklam kampanyasına karşı uyardı.
Malwarebytes’in tehdit istihbaratı kıdemli direktörü Jérôme Segura, The Hacker News ile paylaşılan bir raporda, “Bu plan, Google Ads’ün kimliğine bürünerek ve kurbanları sahte giriş sayfalarına yönlendirerek mümkün olduğu kadar çok reklamveren hesabını çalmayı içeriyor.” dedi.
Kampanyanın nihai hedefinin, çalınan kimlik bilgilerini kampanyaları daha da sürdürmek için yeniden kullanmak ve aynı zamanda bunları yeraltı forumlarındaki diğer suç aktörlerine satmak olduğundan şüpheleniliyor. Reddit, Bluesky ve Google’ın kendi destek forumlarında paylaşılan gönderilere göre tehdit en azından Kasım 2024’ün ortasından beri aktif.
Etkinlik kümesi, Facebook reklamları ve işletme hesaplarıyla ilgili verileri çalmak ve bu hesapları ele geçirmek ve kötü amaçlı yazılımı daha da yayan kötü amaçlı reklam kampanyaları için hesapları kullanmak amacıyla hırsız kötü amaçlı yazılımlardan yararlanan kampanyalara çok benzer.
Yeni tanımlanan kampanya, Google Ads için sahte reklamlar sunmak üzere Google’ın kendi arama motorunda Google Ads araması yapan kullanıcıları özellikle öne çıkarıyor; bu reklamlar, tıklandığında kullanıcıları Google Sites’ta barındırılan sahte sitelere yönlendiriyor.
Bu siteler daha sonra ziyaretçileri, bir WebSocket aracılığıyla kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını yakalamak üzere tasarlanmış ve saldırganın kontrolü altındaki uzak bir sunucuya sızan harici kimlik avı sitelerine yönlendirmek için açılış sayfaları görevi görür.
Segura, “Google Ads’e yönelik sahte reklamlar, çeşitli yerlerdeki çeşitli kişilerden ve işletmelerden (bölgesel bir havaalanı dahil) geliyor” dedi. “Bu hesapların bazılarında zaten yüzlerce meşru reklam yayınlanıyordu.”
Kampanyanın ustaca bir yönü, Google Ads’ün, nihai URL’nin (kullanıcıların reklamı tıkladıklarında ulaştıkları web sayfası) görünen URL ile aynı olmasını gerektirmemesinden yararlanmasıdır. etki alanları eşleşiyor.
Bu, tehdit aktörlerinin ara açılış sayfalarını sites.google’da barındırmasına olanak tanır.[.]com, görünen URL’leri ads.google olarak korurken[.]com. Dahası, işleyiş şekli parmak izi alma, anti-bot trafiği algılama, CAPTCHA’dan ilham alan bir tuzak, gizleme ve kimlik avı altyapısını gizlemek için şaşırtma gibi tekniklerin kullanılmasını gerektirir.
Malwarebytes, toplanan kimlik bilgilerinin daha sonra kurbanın Google Ads hesabında oturum açmak, yeni bir yönetici eklemek ve harcama bütçelerini sahte Google reklamları için kullanmak amacıyla kötüye kullanıldığını söyledi.
Başka bir deyişle, tehdit aktörleri, dolandırıcılığı daha da sürdürmek için kullanılan, giderek büyüyen saldırıya uğramış hesap havuzuna yeni kurbanlar eklemek amacıyla kendi reklamlarını yayınlamak için Google Ads hesaplarını ele geçiriyor.
Segura, “Bu kampanyaların arkasında birkaç kişi veya grup var gibi görünüyor” dedi. “Bunların çoğunluğu Portekizce konuşuyor ve muhtemelen Brezilya dışında faaliyet gösteriyor. Kimlik avı altyapısı, Portekiz’i gösteren .pt üst düzey alan adına (TLD) sahip ara alan adlarına dayanıyor.”
“Bu kötü niyetli reklam etkinliği, Google’ın reklam kurallarını ihlal etmiyor. Tehdit aktörlerinin, reklamlarında sahte URL’ler göstermesine izin veriliyor, bu da onları meşru sitelerden ayırt edilemez hale getiriyor. Google, güvenlikleri sağlanana kadar bu tür hesapları dondurmak için kesin adımlar attığını henüz göstermedi. “
Açıklama, Trend Micro’nun, saldırganların popüler yazılımların korsan sürümleri için sahte yükleyicilere bağlantılar dağıtmak amacıyla YouTube ve SoundCloud gibi platformları kullandığını ve sonuçta Amadey, Lumma Stealer, Mars Stealer, Penguish gibi çeşitli kötü amaçlı yazılım ailelerinin yayılmasına yol açtığını ortaya çıkarmasıyla geldi. , PrivateLoader ve Vidar Stealer.
Şirket, “Tehdit aktörleri, kötü amaçlı yazılımlarının kaynağını gizlemek ve tespit ve kaldırmayı zorlaştırmak için genellikle Mediafire ve Mega.nz gibi saygın dosya barındırma hizmetlerini kullanıyor” dedi. “Kötü amaçlı indirmelerin çoğu parolayla korunuyor ve kodlanıyor; bu da korumalı alanlar gibi güvenlik ortamlarında analizi zorlaştırıyor ve kötü amaçlı yazılımların erken tespitten kaçmasına olanak tanıyor.”