Uma nova campanha de phishing está visando profissionais de SEO com anúncios maliciosos no Google Ads da Semrush que visam roubar as credenciais das contas Google dos usuários.
O pesquisador da Malwarebytes, Jerome Segura, e o estrategista de SEO, Elie Berreby, acreditam que o ator de ameaças está atrás de contas Google Ads que lhes permitiriam criar novas campanhas de malvertising.
Esse tipo de "fraude em cascata" vem ganhando força recentemente, como a Malwarebytes revelou em janeiro, em uma operação semelhante onde anúncios Google falsos hospedados no Google Sites visavam contas do Google Ads.
“Acreditamos que os criminosos por trás disso provavelmente se reagruparam e mudaram para uma abordagem menos direta, mas que pode entregar tanto quanto,” explica a Malwarebytes.
Neste último caso, os cibercriminosos abusam da marca Semrush, uma plataforma popular como serviço (SaaS) utilizada para SEO, publicidade online, marketing de conteúdo e pesquisa competitiva.
Semrush é amplamente utilizado por profissionais de marketing digital, anunciantes, negócios de e-commerce e grandes empresas, incluindo 40% das empresas da Fortune 500.
Como o Semrush integra com o Google Analytics e o Google Search Console, os clientes frequentemente vinculam contas Google valiosas contendo dados comerciais sensíveis — como métricas de receita, estratégias de marketing e comportamento do cliente, todos alvos atraentes para cibercriminosos.
Berreby contou que por trás da campanha está um grupo de ameaças brasileiro que se especializa em visar plataformas SaaS e agora está empregando uma técnica particularmente astuta.
"Os golpistas têm como alvo final as contas Google. Mas sua segunda melhor opção são as credenciais SaaS," explicou Berreby.
Se uma conta empresarial Google foi vinculada no passado, há uma possibilidade de exfiltrar dados sensíveis Google sem comprometer a própria conta Google.
Na campanha mais recente, cibercriminosos usam o Google Ads para promover resultados maliciosos do Semrush quando os usuários inserem termos de busca relacionados.
Clicar no anúncio leva os usuários a um site de phishing que parece com o Semrush e usa nomes de domínio "semrush" mas com um domínio de nível superior diferente do da empresa legítima (semrush.com).
Alguns domínios maliciosos usados na campanha são “semrush[.]click”, “semrush[.]tech”, auth.seem-rush[.]com,” “semrush-pro[.]co” e “sem-rushh[.]com”.
A maioria desses domínios permanece online, mas nem todos carregam a página de phishing, sugerindo que o ator de ameaças está filtrando seus alvos com base na localização geográfica e outros critérios.
A página falsa de login imita a interface do Semrush, mas não oferece as opções padrão de login, forçando os visitantes a fazer login via “Log in with Google” apenas.
Quando os usuários inserem seus detalhes de login do Google, as informações são enviadas diretamente para os atacantes.
Visto que muitas contas Semrush são integradas ao Google Analytics (GA) e ao Google Search Console (GSC), os atores de ameaça podem ganhar acesso a dados comerciais sensíveis sem comprometer o Semrush em si.
Sobre a persistência dos anúncios maliciosos do Google e a falha do gigante tecnológico em lidar com esse problema de forma decisiva, Berreby explicou que serão necessárias grandes decisões em nível superior para parar isso.
“Tive várias conversas com representantes do Google nos últimos anos sobre os riscos de cibersegurança de usar o Google Ads para propósitos maliciosos,” disse Elie Berreby.
A resposta daquelas pessoas bem-intencionadas e trabalhadoras foi sempre a mesma: 'Sou apenas uma engrenagem em uma máquina enorme.
O problema é que as pessoas com quem conversamos no Google não podem abordar os problemas subjacentes porque não são tomadores de decisão.
Eles estão diligentemente fazendo o seu melhor em um nível individual, mas isso não é suficiente, e francamente, isso não é aceitável para uma gigante da tecnologia como o Google que usa as soluções mais avançadas de machine learning.
Ainda assim, o especialista em SEO elogiou o Google por responder rapidamente aos seus relatórios e derrubar os anúncios maliciosos associados à campanha mais recente.
Para evitar cair em golpes do Google Ads, evite clicar em resultados promovidos/patrocinados, marque páginas que você acessa frequentemente para visitá-las diretamente e sempre verifique se você está no domínio oficial antes de fazer login.
Usar um gerenciador de senhas para preencher caixas de login também pode ajudar, pois os dados serão digitados nos domínios para os quais as credenciais foram salvas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...