В мире цифровой рекламы разгорается серьёзная угроза: злоумышленники научились виртуозно обманывать пользователей Google Ads, похищая их учётные данные и коды двухфакторной аутентификации. Целью таких атак становятся как частные лица, так и компании, использующие рекламный сервис Google.
Схема обмана выглядит так: киберпреступники создают фальшивые рекламные объявления, которые появляются в результатах поиска Google, когда пользователи ищут "Google Ads". Эти объявления выглядят вполне легитимно и не вызывают подозрений. Однако, при нажатии на такую рекламу, пользователя перенаправляют на поддельную посадочную страницу, расположенную на платформе Google Sites (sites.google[.]com).
С поддельной страницы жертва попадает на фишинговый сайт, где её просят ввести логин и пароль от Google Ads, а также код двухфакторной аутентификации. Мошенники используют технологию WebSocket для перехвата этой информации и отправки её на свой удалённый сервер.
Особенность этой схемы заключается в том, что злоумышленники умело используют возможность Google Ads отображать один URL в качестве рекламного, а перенаправлять пользователей на другой. Они используют
Кроме того, злоумышленники используют целый арсенал техник для обхода систем безопасности, включая распознавание отпечатков браузера, обнаружение ботов, использование CAPTCHA-подобных приманок, маскировку и обфускацию.
После того как учётные данные украдены, киберпреступники получают полный доступ к аккаунту Google Ads жертвы. Они добавляют себя в качестве новых администраторов и начинают использовать рекламные бюджеты жертв для своих целей. Более того, взломанные аккаунты сами начинают распространять вредоносные рекламные объявления, создавая тем самым замкнутый круг.
По оценкам, за этой кампанией стоят несколько групп или отдельных лиц, большая часть из которых, вероятно, являются носителями португальского языка и базируются в Бразилии. Об этом говорит использование , которые являются национальными доменами верхнего уровня для Португалии. Активность данной кампании началась как минимум с середины ноября 2024 года.
Исследование этой кибер-атаки проводилось Жеромом Сегурой, старшим директором по анализу угроз в компании Malwarebytes. Он отметил, что первоначальные сообщения об этой кампании были неточными, так как предполагалось, что вредоносная активность не нарушает правил рекламы Google. Однако, эта информация позже была опровергнута.
Google, со своей стороны, официально заявляет, что «категорически запрещает рекламу, направленную на введение людей в заблуждение». Команда Google постоянно работает над выявлением и устранением подобных злоупотреблений. В 2023 году Google удалил более 3,4 миллиарда рекламных объявлений, ограничил более 5,7 миллиарда объявлений и заблокировал более 5,6 миллиона аккаунтов рекламодателей. В частности, 206,5 миллионов объявлений были заблокированы за нарушение политики о недостоверной информации.
Данная схема напоминает аналогичные атаки на Facebook, где мошенники похищают рекламные и бизнес аккаунты, используя вредоносное программное обеспечение, такое как стилер-малварь. Кроме того, существует угроза распространения вредоносного ПО через пиратские программы на платформах YouTube и SoundCloud, которые загружаются через файлообменники Mediafire и . Это ПО включает в себя такие виды как Amadey, Lumma Stealer, Mars Stealer, Penguish, PrivateLoader и Vidar Stealer.
Изображение носит иллюстративный характер
Схема обмана выглядит так: киберпреступники создают фальшивые рекламные объявления, которые появляются в результатах поиска Google, когда пользователи ищут "Google Ads". Эти объявления выглядят вполне легитимно и не вызывают подозрений. Однако, при нажатии на такую рекламу, пользователя перенаправляют на поддельную посадочную страницу, расположенную на платформе Google Sites (sites.google[.]com).
С поддельной страницы жертва попадает на фишинговый сайт, где её просят ввести логин и пароль от Google Ads, а также код двухфакторной аутентификации. Мошенники используют технологию WebSocket для перехвата этой информации и отправки её на свой удалённый сервер.
Особенность этой схемы заключается в том, что злоумышленники умело используют возможность Google Ads отображать один URL в качестве рекламного, а перенаправлять пользователей на другой. Они используют
sites.google[.]com в качестве фактического адреса, а в рекламном объявлении показывают ads.google[.]com, чтобы не вызывать подозрений. Кроме того, злоумышленники используют целый арсенал техник для обхода систем безопасности, включая распознавание отпечатков браузера, обнаружение ботов, использование CAPTCHA-подобных приманок, маскировку и обфускацию.
После того как учётные данные украдены, киберпреступники получают полный доступ к аккаунту Google Ads жертвы. Они добавляют себя в качестве новых администраторов и начинают использовать рекламные бюджеты жертв для своих целей. Более того, взломанные аккаунты сами начинают распространять вредоносные рекламные объявления, создавая тем самым замкнутый круг.
По оценкам, за этой кампанией стоят несколько групп или отдельных лиц, большая часть из которых, вероятно, являются носителями португальского языка и базируются в Бразилии. Об этом говорит использование , которые являются национальными доменами верхнего уровня для Португалии. Активность данной кампании началась как минимум с середины ноября 2024 года.
Исследование этой кибер-атаки проводилось Жеромом Сегурой, старшим директором по анализу угроз в компании Malwarebytes. Он отметил, что первоначальные сообщения об этой кампании были неточными, так как предполагалось, что вредоносная активность не нарушает правил рекламы Google. Однако, эта информация позже была опровергнута.
Google, со своей стороны, официально заявляет, что «категорически запрещает рекламу, направленную на введение людей в заблуждение». Команда Google постоянно работает над выявлением и устранением подобных злоупотреблений. В 2023 году Google удалил более 3,4 миллиарда рекламных объявлений, ограничил более 5,7 миллиарда объявлений и заблокировал более 5,6 миллиона аккаунтов рекламодателей. В частности, 206,5 миллионов объявлений были заблокированы за нарушение политики о недостоверной информации.
Данная схема напоминает аналогичные атаки на Facebook, где мошенники похищают рекламные и бизнес аккаунты, используя вредоносное программное обеспечение, такое как стилер-малварь. Кроме того, существует угроза распространения вредоносного ПО через пиратские программы на платформах YouTube и SoundCloud, которые загружаются через файлообменники Mediafire и . Это ПО включает в себя такие виды как Amadey, Lumma Stealer, Mars Stealer, Penguish, PrivateLoader и Vidar Stealer.
