Специалисты по кибербезопасности из компании Malwarebytes выявили изощренную фишинговую кампанию, нацеленную на владельцев рекламных аккаунтов Google Ads. Злоумышленники используют саму рекламную платформу Google для распространения вредоносных объявлений, маскирующихся под официальную рекламу Google Ads.
Механизм проведения атаки
Атака реализуется через размещение фишинговых объявлений в поисковой выдаче Google. Когда пользователь переходит по такому объявлению, он попадает на поддельную страницу авторизации, размещенную на платформе Google Sites. Злоумышленники намеренно используют sites.google.com, поскольку этот домен технически является частью инфраструктуры Google, что повышает доверие пользователей и затрудняет обнаружение мошенничества.
Особенности технической реализации
По словам старшего исследователя Malwarebytes Жерома Сегуры, преступники умело обходят защитные механизмы Google Ads. Система позволяет показывать в рекламе URL-адреса только тех доменов, которые совпадают с целевой страницей. Поскольку sites.google.com и ads.google.com используют один корневой домен, вредоносные объявления успешно проходят модерацию.
Масштаб угрозы и организаторы
Исследователи идентифицировали как минимум три хакерские группы, стоящие за этими атаками: португалоязычную группировку из Бразилии, азиатскую группу, использующую рекламные аккаунты из Гонконга и Китая, а также команду из Восточной Европы. Основная цель злоумышленников – перепродажа похищенных аккаунтов на черном рынке и их использование для проведения новых атак.
Уязвимость целевой аудитории
Особую опасность представляет тот факт, что целевая аудитория атак – рекламодатели – как правило, не использует блокировщики рекламы. Это необходимо им для мониторинга собственных рекламных кампаний и активности конкурентов, что делает их более уязвимыми перед фишинговыми атаками.
В ответ на публикацию отчета представители Google заявили о начале активной работы над устранением проблемы. Компания подтвердила, что подобная рекламная активность противоречит их политике безопасности, и пообещала принять меры для защиты пользователей от мошеннических действий.
