Yeni bir kimlik avı kampanyası, Google hesap kimlik bilgilerini çalmayı amaçlayan kötü amaçlı semrush Google reklamları olan SEO profesyonellerini hedefliyor.
Malwarebytes araştırmacısı Jerome Segura ve SEO stratejisti Elie Berreby, tehdit oyuncusunun Google Reklam hesaplarından sonra yeni kötü niyetli kampanyalar oluşturmalarını sağlayacak olduğuna inanıyor.
Bu tür “basamaklı sahtekarlık” son zamanlarda çekiş kazanıyor, çünkü Malwarebebytes Ocak ayında Google sitelerinde barındırılan sahte Google reklamlarının Google reklam hesaplarını hedeflediği benzer bir operasyon.
Malwarebytes, “Arkasındaki suçluların yeniden gruplandıklarına ve daha az doğrudan bir yaklaşıma geçtiklerine inanıyoruz, ancak aynı derecede fazla bir yaklaşıma geçiyor” diye açıklıyor Malwarebytes.
Bu son durumda, siber suçlular SEO, çevrimiçi reklam, içerik pazarlaması ve rekabetçi araştırmalar için kullanılan popüler bir hizmet olarak yazılım (SAAS) platformu olan Semrush Brand’ı kötüye kullanıyor.
.jpg)
Kaynak: Malwarebebytes
Semrush, Fortune 500 şirketlerinin% 40’ı da dahil olmak üzere dijital pazarlamacılar, reklamverenler, e-ticaret işletmeleri ve büyük işletmeler tarafından yaygın olarak kullanılmaktadır.
Semrush Google Analytics ve Google arama konsolu ile entegre olduğundan, müşteriler genellikle gelir metrikleri, pazarlama stratejileri ve müşteri davranışı gibi hassas iş verileri içeren değerli Google hesaplarını birbirine bağlar.
Berreby, BleepingComputer’a kampanyanın arkasında SaaS platformlarını hedefleme konusunda uzmanlaşmış ve şimdi özellikle kurnaz bir teknik kullanan bir Brezilya tehdit grubu olduğunu söyledi.
Berreby, “Dolandırıcıların nihai hedefi Google hesaplarıdır. Ancak en iyi ikinci seçenekleri SaaS kimlik bilgileridir.”
“Geçmişte bir kurumsal Google hesabı bağlanmışsa, Google hesabından ödün vermeden hassas Google verilerini açığa çıkarma olasılığı vardır.”
Semrush kampanyası
En son kampanyada, siber suçlular, kullanıcılar ilgili arama terimlerini girdiğinde kötü amaçlı semrush sonuçlarını tanıtmak için Google reklamlarını kullanırlar.
Reklamı tıklamak, kullanıcıları Semrush’a benzeyen ve “Semrush” alan adlarını kullanan ancak meşru şirketten (SEMRUSH.com) farklı bir üst düzey alanına sahip bir kimlik avı sitesine götürür.
Kampanyada kullanılan bazı kötü amaçlı alanlar “semrush[.]Tıklayın, ”” Semrush[.]Tech, ”auth.seem-rush[.]com, ”” Semrush-Pro[.]CO, “ve” SEM-RUSHH[.]com. “
Bu alanların çoğu çevrimiçi kalır, ancak hepsi kimlik avı sayfasını yüklemez, bu da tehdit oyuncusunun hedeflerini coğrafi konuma ve diğer kriterlere göre filtrelediğini düşündürmektedir.
.jpg)
Kaynak: Malwarebebytes
Sahte oturum açma sayfası Semrush’ın arayüzünü taklit eder, ancak standart oturum açma seçeneklerini sunmaz ve ziyaretçileri yalnızca “Google ile Giriş” yoluyla oturum açmaya zorlar.
Kullanıcılar Google giriş bilgilerini girdiğinde, bilgiler doğrudan saldırganlara gönderilir.
Birçok SEMRUSH hesabı Google Analytics (GA) ve Google Arama Konsolu (GSC) ile entegre olduğundan, tehdit aktörleri Semrush’tan ödün vermeden hassas iş verilerine erişebilir.
Kaynak: Malwarebebytes
Kötü niyetli Google reklamlarının kalıcılığı ve teknoloji devinin bu sorunu kararlı bir şekilde çözememesi ile ilgili olarak Berreby, bunu durdurmanın daha yüksek seviyede büyük kararlar alacağını açıkladı.
“Jérôme Segura ve ben, Google temsilcileriyle Google reklamlarını kötü niyetli amaçlar için kullanmanın siber güvenlik riskleri hakkında birden fazla sohbet ettik. Bu iyi niyetli ve çalışkan insanlardan gelen cevap her zaman aynıydı: ‘Ben sadece büyük bir makinede bir dişliyim’
“Sorun, Google’da konuştuğumuz kişilerin altta yatan sorunları ele alamamasıdır, çünkü karar vericiler değildirler. Bireysel düzeyde özenle ellerinden geleni yapıyorlar, ancak bu yeterli değil ve açıkçası, Google gibi en gelişmiş makine öğrenme çözümlerini kullanan dev bir teknoloji şirketi için kabul edilemez.”
Yine de, CEO uzmanı Google’a raporlarına hızlı bir şekilde yanıt verdiği ve en son kampanyayla ilişkili kötü amaçlı arama sonuçlarını düşürdüğü için övgüde bulundu.
Google Reklam Dolandırıcıları tarafından sıkışıp kalmaktan kaçınmak için, tanıtılan/sponsorlu sonuçları tıklamaktan kaçının, doğrudan ziyaret etmek için sık sık eriştiğiniz sayfalar ve her zaman oturum açmadan önce resmi alana indiğinizi iki kez kontrol edin.
Giriş kutularını doldurmak için bir şifre yöneticisi kullanmak da yardımcı olabilir, çünkü veriler kimlik bilgilerinin kaydedildiği alanlara yazılacaktır.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.