Οι χάκερ εκμεταλλεύονται διαφημίσεις Google για κλοπή λογαριασμών

Κατά ειρωνικό τρόπο, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν πλέον διαφημίσεις αναζήτησης Google για να προωθήσουν ιστότοπους ηλεκτρονικού ψαρέματος που κλέβουν τα διαπιστευτήρια των διαφημιζόμενων για την πλατφόρμα Google Ads.

Οι εισβολείς προβάλλουν διαφημίσεις στην Αναζήτηση Google που μιμούνται το Google Ads, εμφανίζοντας ως χορηγούμενα αποτελέσματα που ανακατευθύνουν πιθανά θύματα σε πλαστές σελίδες σύνδεσης που φιλοξενούνται στους Ιστότοπους Google, αλλά μοιάζουν με την επίσημη αρχική σελίδα του Google Ads, όπου τους ζητείται να συνδεθούν στους λογαριασμούς τους.

Οι Ιστότοποι Google χρησιμοποιούνται για τη φιλοξενία σελίδων ηλεκτρονικού “ψαρέματος” επειδή επιτρέπει στους εισβολείς να καμουφλάρουν τις ψεύτικες διαφημίσεις τους, δεδομένου ότι η διεύθυνση URL (sites.google.com) αντιστοιχεί στον ριζικό τομέα του Google Ads για πλήρη πλαστοπροσωπία.

“Πράγματι, δεν μπορείτε να εμφανίσετε μια διεύθυνση URL σε μια διαφήμιση εκτός εάν η σελίδα προορισμού σας (τελική διεύθυνση URL) αντιστοιχεί στο ίδιο όνομα τομέα. Αν και αυτός είναι ένας κανόνας που αποσκοπεί στην προστασία της κατάχρησης και της πλαστοπροσωπίας, είναι ένας κανόνας που είναι πολύ εύκολο να τον παρακάμψετε.” είπε Jérôme Segura, Ανώτερος Διευθυντής Έρευνας της Malwarebytes.

“Κοιτάζοντας ξανά τη διαφήμιση και τη σελίδα Ιστότοποι Google, βλέπουμε ότι αυτή η κακόβουλη διαφήμιση δεν παραβιάζει αυστηρά τον κανόνα, καθώς το sites.google.com χρησιμοποιεί τους ίδιους ριζικούς τομείς ads.google.com. Με άλλα λόγια, επιτρέπεται να Εμφάνιση αυτής της διεύθυνσης URL στη διαφήμιση, με αποτέλεσμα να μην διακρίνεται από την ίδια διαφήμιση που δημοσιεύτηκε από την Google LLC.”

Σύμφωνα με άτομα που είτε καταρρίπτω θύμα σε αυτές τις επιθέσεις ή πριόνι τους σε δράσηοι επιθέσεις περιλαμβάνουν πολλαπλά στάδια:

1. Το θύμα εισάγει τα στοιχεία του λογαριασμού του Google στη σελίδα phishing.
2. Το κιτ phishing συλλέγει μοναδικά αναγνωριστικά, cookie και διαπιστευτήρια.
3. Το θύμα μπορεί να λάβει ένα email που υποδεικνύει μια σύνδεση από μια ασυνήθιστη τοποθεσία (Βραζιλία)
4. Εάν το θύμα δεν καταφέρει να σταματήσει αυτήν την προσπάθεια, ένας νέος διαχειριστής προστίθεται στον λογαριασμό Google Ads μέσω διαφορετικής διεύθυνσης Gmail.
5. Ο ηθοποιός των απειλών πηγαίνει σε ένα ξεφάντωμα δαπανών και κλειδώνει τα θύματα αν μπορούν

Τουλάχιστον τρεις ομάδες εγκλήματος στον κυβερνοχώρο βρίσκονται πίσω από αυτές τις επιθέσεις, συμπεριλαμβανομένων των Πορτογαλόφωνων που πιθανότατα δραστηριοποιούνται εκτός Βραζιλίας, των απειλών με έδρα την Ασία που χρησιμοποιούν λογαριασμούς διαφημιστών από το Χονγκ Κονγκ (ή από την Κίνα) και μια τρίτη συμμορία που πιθανότατα αποτελείται από Ανατολικοευρωπαίους.

Η Malwarebytes Labs, που εντόπισε αυτή τη συνεχιζόμενη καμπάνια, πιστεύει ότι ο τελικός στόχος των εγκληματιών είναι να πουλήσουν τους κλεμμένους λογαριασμούς σε φόρουμ hacking και να χρησιμοποιήσουν ορισμένους από αυτούς για να εκτελέσουν μελλοντικές επιθέσεις χρησιμοποιώντας τις ίδιες τεχνικές phishing.

“Πρόκειται για την πιο κατάφωρη επιχείρηση κακόβουλης διαφήμισης που έχουμε παρακολουθήσει ποτέ, φτάνοντας στον πυρήνα της επιχείρησης της Google και πιθανότατα επηρεάζει χιλιάδες πελάτες της παγκοσμίως. Αναφέρουμε νέα περιστατικά όλο το εικοσιτετράωρο και ωστόσο συνεχίζουμε να εντοπίζουμε νέα, ακόμη και τη στιγμή της δημοσίευση», πρόσθεσε ο Segura.

“Κατά ειρωνικό τρόπο, είναι πολύ πιθανό τα άτομα και οι επιχειρήσεις που εκτελούν διαφημιστικές καμπάνιες να μην χρησιμοποιούν ένα πρόγραμμα αποκλεισμού διαφημίσεων (για να δουν τις διαφημίσεις τους και αυτές από τους ανταγωνιστές τους), γεγονός που τα καθιστά ακόμη πιο επιρρεπή σε αυτά τα συστήματα phishing.”

Οι κλεμμένοι λογαριασμοί Google Ads είναι ιδιαίτερα περιζήτητοι από τους εγκληματίες του κυβερνοχώρου, οι οποίοι τους χρησιμοποιούν τακτικά ως καύσιμο σε άλλες επιθέσεις που καταχρώνται επίσης τις διαφημίσεις αναζήτησης Google για να προωθήσουν κακόβουλο λογισμικό και διάφορες απάτες.

“Απαγορεύουμε ρητά τις διαφημίσεις που στοχεύουν να εξαπατήσουν τους ανθρώπους προκειμένου να κλέψουν τις πληροφορίες τους ή να τους εξαπατήσουν. Οι ομάδες μας ερευνούν ενεργά αυτό το ζήτημα και εργάζονται γρήγορα για να το αντιμετωπίσουν”, είπε η Google στο BleepingComputer όταν της ζητήθηκε να παράσχει περισσότερες λεπτομέρειες για τις επιθέσεις.

Καθ’ όλη τη διάρκεια του 2023, η Google επίσης μπλοκαριστεί ή αφαιρεθεί 206,5 εκατομμύρια διαφημίσεις για παραβίαση της Πολιτικής Παραπληροφόρησης. Επίσης αφαιρέθηκε πάνω από 3,4 δισεκατομμύρια διαφημίσεις, περιορίστηκαν πάνω από 5,7 δισεκατομμύρια και ανέστειλε πάνω από 5,6 εκατομμύρια λογαριασμούς διαφημιζόμενων.