Hackers χρησιμοποιούν ψεύτικες διαφημίσεις στο Google search για να προωθήσουν phishing sites που κλέβουν credentials διαφημιστών για πρόσβαση σε Google Ads accounts.
Οι επιτιθέμενοι προβάλλουν διαφημίσεις στο Google Search που μιμούνται το Google Ads. Τις εμφανίζουν ως χορηγούμενα αποτελέσματα και ανακατευθύνουν τα πιθανά θύματα σε πλαστές σελίδες σύνδεσης που φιλοξενούνται στο Google Sites, αλλά μοιάζουν με την επίσημη αρχική σελίδα του Google Ads. Οι χρήστες καλούνται να συνδεθούν στους λογαριασμούς τους.
Το Google Sites χρησιμοποιείται για τη φιλοξενία σελίδων phishing επειδή επιτρέπει στους hackers να κρύβουν τις ψεύτικες διαφημίσεις. Η διεύθυνση URL (sites.google.com) αντιστοιχεί στο root domain του Google Ads για πλήρη πλαστοπροσωπία.
Δείτε επίσης: Χάκερ καταχρώνται το Google Ads για την διάδοση του Fakebat malware
“Πράγματι, δεν μπορείτε να εμφανίσετε μια διεύθυνση URL σε μια διαφήμιση, εκτός εάν η σελίδα προορισμού (τελική διεύθυνση URL) αντιστοιχεί στο ίδιο domain name. Αν και αυτός είναι ένας κανόνας που αποσκοπεί στην προστασία από κατάχρηση και πλαστοπροσωπία, μπορεί να παρακαμφθεί εύκολα“, είπε ο Jérôme Segura, Ανώτερος Διευθυντής Έρευνας της Malwarebytes.
“Κοιτάζοντας ξανά τη διαφήμιση και τη σελίδα Google Sites, βλέπουμε ότι αυτή η κακόβουλη διαφήμιση δεν παραβιάζει αυστηρά τον κανόνα, καθώς το sites.google.com χρησιμοποιεί τα ίδια root domains ads ads.google.com. Με άλλα λόγια, επιτρέπεται να εμφανίζει αυτή τη διεύθυνση URL στη διαφήμιση, με αποτέλεσμα να μην ξεχωρίζει από την ίδια διαφήμιση που δημοσιεύτηκε από την Google LLC“.
Η συγκεκριμένη κακόβουλη εκστρατεία περιλαμβάνει διάφορα στάδια:
- Το θύμα εισάγει τα στοιχεία του Google account του στη σελίδα phishing.
- Το phishing kit συλλέγει στοιχεία ταυτοποίησης, cookies και διαπιστευτήρια.
- Το θύμα μπορεί να λάβει ένα email που υποδεικνύει μια σύνδεση από μια ασυνήθιστη τοποθεσία (Βραζιλία).
- Εάν το θύμα συνεχίσει, ένας νέος διαχειριστής θα προστεθεί στο Google Ads account μέσω διαφορετικής διεύθυνσης Gmail.
- Ο επιτιθέμενος μπορεί να κλειδώσει τα θύματα έξω από τα Google Ads accounts τους.
Δείτε επίσης: iMessage: Hackers σας ξεγελούν ώστε να απενεργοποιήσετε την προστασία phishing
Τουλάχιστον τρεις hacking ομάδες φαίνεται να βρίσκονται πίσω από αυτές τις επιθέσεις. Η Malwarebytes Labs, που εντόπισε την κακόβουλη καμπάνια Google Ads, πιστεύει ότι οι επιτιθέμενοι στοχεύουν στην πώληση των κλεμμένων accounts σε hacking φόρουμ. Μπορούν, επίσης, να χρησιμοποιήσουν κάποιους για να εκτελέσουν μελλοντικές επιθέσεις.
Πρόκειται για μια καμπάνια που φτάνει στον πυρήνα της επιχείρησης της Google και πιθανότατα επηρεάζει χιλιάδες πελάτες της παγκοσμίως. Νέα περιστατικά ανακαλύπτονται συνεχώς.
“Είναι πολύ πιθανό τα άτομα και οι επιχειρήσεις, που εκτελούν διαφημιστικές καμπάνιες, να μην χρησιμοποιούν ένα πρόγραμμα αποκλεισμού διαφημίσεων, γεγονός που τους καθιστούν ακόμη πιο επιρρεπείς σε αυτά τα συστήματα phishing“.
Τα κλεμμένα Google Ads accounts βρίσκονται συχνά στο στόχαστρο των hackers γιατί τους βοηθούν σε άλλες επιθέσεις και πραγματοποίηση απατών.
Δείτε επίσης: Καμπάνια Phishing κλέβει λογαριασμούς PayPal
“Απαγορεύουμε ρητά τις διαφημίσεις που στοχεύουν να εξαπατήσουν τους ανθρώπους προκειμένου να κλέψουν τις πληροφορίες τους ή να τους εξαπατήσουν. Οι ομάδες μας ερευνούν ενεργά αυτό το ζήτημα και εργάζονται γρήγορα για να το αντιμετωπίσουν“, είπε η Google στο BleepingComputer.
Προστασία από phishing
- Προστασία συσκευών με λογισμικό προστασίας από ιούς
- Τακτική ενημέρωση λογισμικού
- Χρήση ενός μοναδικού κωδικού πρόσβασης για καθέναν από τους διαδικτυακούς λογαριασμούς
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων
- Δημιουργία αντιγράφων ασφαλείας
- Ενημέρωση προσωπικού για νέες απειλές και εκπαίδευση με δοκιμαστικές phishing επιθέσεις
- Παρακολούθηση και προστασία των endpoints
- Περιορισμός πρόσβασης σε σημαντικά συστήματα
- Τμηματοποίηση δικτύου
Πηγή: www.bleepingcomputer.com
