Ironicamente, cibercriminosos agora utilizam anúncios de pesquisa do Google para promover sites de phishing que roubam credenciais de anunciantes da plataforma Google Ads.
Os atacantes estão rodando anúncios no Google Search se passando por Google Ads, aparecendo como resultados patrocinados que redirecionam vítimas em potencial para páginas de login falsas hospedadas no Google Sites, mas com aparência da homepage oficial do Google Ads, onde lhes é solicitado a fazer login em suas contas.
Google Sites é usado para hospedar páginas de phishing porque permite aos atacantes camuflar seus anúncios falsos, dado que a URL (sites.google.com) combina com o domínio raiz do Google Ads para uma completa personificação.
"De fato, você não pode mostrar uma URL em um anúncio a menos que sua página de destino (URL final) corresponda ao mesmo nome de domínio.
Embora essa seja uma regra feita para proteger contra abusos e personificação, é uma que é muito fácil de contornar," disse Jérôme Segura, Diretor Sênior de Pesquisa na Malwarebytes.
Olhando para trás no anúncio e na página do Google Sites, vemos que esse anúncio malicioso não viola estritamente a regra, já que sites.google.com usa os mesmos domínios raiz que ads.google.com.
Em outras palavras, é permitido mostrar essa URL no anúncio, tornando-a indistinguível do mesmo anúncio colocado pelo Google LLC.
Segundo pessoas que ou caíram vítimas desses ataques ou os viram em ação, os ataques incluem múltiplos estágios:
-A vítima insere suas informações de conta do Google na página de phishing.
-O kit de phishing coleta identificadores únicos, cookies e credenciais.
-A vítima pode receber um email indicando um login de uma localização incomum (Brasil)
-Se a vítima não conseguir parar essa tentativa, um novo administrador é adicionado à conta do Google Ads via um endereço de Gmail diferente.
-O ator de ameaça parte para uma série de gastos e bloqueia as vítimas se conseguir
Pelo menos três grupos de cibercrime estão por trás desses ataques, incluindo falantes de português provavelmente operando do Brasil, atores de ameaças com base na Ásia usando contas de anunciantes de Hong Kong (ou da China) e uma terceira gangue provavelmente composta por europeus orientais.
Malwarebytes Labs, que identificou essa campanha em andamento, acredita que o objetivo final dos criminosos é vender as contas roubadas em fóruns de hacking e usar algumas delas para realizar futuros ataques usando as mesmas técnicas de phishing.
"Esta é a operação de malvertising mais grave que já rastreamos, chegando ao cerne do negócio do Google e provavelmente afetando milhares de seus clientes mundialmente. Temos relatado novos incidentes sem parar e ainda assim continuamos identificando novos, mesmo no momento da publicação," adicionou Segura.
Ironicamente, é bem possível que indivíduos e empresas que realizam campanhas de anúncios não estejam usando um bloqueador de anúncios (para ver seus anúncios e os de seus concorrentes), tornando-os ainda mais suscetíveis a cair nesses esquemas de phishing.
Contas do Google Ads roubadas são altamente procuradas por cibercriminosos, que regularmente as utilizam como combustível em outros ataques que também abusam de anúncios de pesquisa do Google para disseminar malware e diversos golpes.
"Nós expressamente proibimos anúncios que visam enganar as pessoas a fim de roubar suas informações ou enganá-las. Nossas equipes estão ativamente investigando este problema e trabalhando rapidamente para resolvê-lo," o Google informou quando solicitado a fornecer mais detalhes sobre os ataques.
Ao longo de 2023, o Google também bloqueou ou removeu 206,5 milhões de anúncios por violarem sua Política de Representação Falsa.
Também removeu mais de 3,4 bilhões de anúncios, restringiu mais de 5,7 bilhões e suspendeu mais de 5,6 milhões de contas de anunciantes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...