İronik bir şekilde, siber suçlular artık reklamverenlerin Google reklam platformu için kimlik bilgilerini çalan kimlik avı sitelerini tanıtmak için Google Arama reklamlarını kullanıyor.
Saldırganlar Google Arama ile ilgili reklamlar çalıştırıyor ve potansiyel kurbanları Google sitelerinde barındırılan ancak hesaplarında oturum açmaları istenen resmi Google Reklamlar ana sayfasına benzeyen sahte oturum açma sayfalarına yönlendiren sponsorlu sonuçlar olarak gösteriliyor.
Google siteleri, URL'nin (Sites.google.com) tam bir kimliğe bürünme için Google Reklamların Kök Etki Alanı ile eşleştiği göz önüne alındığında, saldırganların sahte reklamlarını kamufle etmesine izin verdiği için kimlik avı sayfalarını barındırmak için kullanılır.
"Gerçekten de, açılış sayfanız (son URL) aynı alan adıyla eşleşmedikçe bir reklamda bir URL gösteremezsiniz. Bu, istismar ve taklit etmeyi korumak için bir kural olsa da, etrafta dolaşmak çok kolaydır" dedi. Jérôme Segura, Malwarebytes Araştırma Kıdemli Direktörü.
"Reklam ve Google Siteleri sayfasına tekrar baktığımızda, bu kötü niyetli reklamın, siteler.google.com aynı kök alan adlarını kullandığından, reklamların reklamları kullandığından kuralı kesinlikle ihlal etmediğini görüyoruz. Bu URL'yi reklamda gösterin, bu nedenle Google LLC tarafından ortaya konan aynı reklamdan ayırt edilemez hale getirin. "
Ya bu saldırılara kurban düşen ya da onları eylemde gören kişilere göre, saldırılar birden fazla aşama içeriyor:
Bu saldırıların arkasında en az üç siber suç grubu, büyük olasılıkla Brezilya'dan faaliyet gösteren Portekizli konuşmacılar, Hong Kong'dan (veya Çin'den) reklamveren hesaplarını kullanan Asya merkezli tehdit aktörleri ve muhtemelen Doğu Avrupalılardan yapılmış üçüncü çete.
Bu devam eden kampanyayı tespit eden Malwarebytes Labs, suçluların nihai hedefinin çalınan hesapları hackleme forumlarında satmak ve bazılarını aynı kimlik avı tekniklerini kullanarak gelecekteki saldırıları yürütmek için kullanmak olduğuna inanıyor.
"Bu, şimdiye kadar takip ettiğimiz, Google'ın işinin özüne ulaştığımız ve muhtemelen dünya çapında binlerce müşterisini etkileyen en korkunç kötü niyetli operasyon. Yayın, "Segura ekledi.
"İronik bir şekilde, reklam kampanyaları yürüten bireylerin ve işletmelerin bir reklam bloğu kullanmaması (reklamlarını ve rakiplerinden gelenleri görmek için) kullanmaları ve bu kimlik avı planlarına düşmeye daha da duyarlı olmaları oldukça olasıdır."
Çalınan Google reklamlar hesapları, Google arama reklamlarını kötü amaçlı yazılımları ve çeşitli dolandırıcılığı zorlamak için kötüye kullanan diğer saldırılarda düzenli olarak yakıt olarak kullanan siber suçlular tarafından çok aranmaktadır.
Google, BleepingComputer'a saldırılar hakkında daha fazla ayrıntı vermesi istendiğinde, "İnsanları bilgilerini çalmak veya dolandırmak için aldatmayı amaçlayan reklamları açıkça yasaklıyoruz. Ekiplerimiz bu sorunu aktif olarak araştırıyor ve bunu ele almak için hızlı bir şekilde çalışıyor." Dedi.
2023 boyunca Google, yanlış beyan politikasını ihlal ettiği için 206.5 milyon reklamı engelledi veya kaldırdı. Ayrıca 3,4 milyardan fazla reklamı kaldırdı, 5.7 milyardan fazla kısıtlandı ve 5.6 milyondan fazla reklamveren hesabını askıya aldı.
GÜNCELLEME 16 Ocak 15:18 EST: Google, şimdi "bu sorunu ele aldığını" ve "etkilenen reklamverenlerle hesaplarına erişimi yeniden kazanması için çalıştığını" söylüyor.
Google OAuth Kususu, saldırganların terk edilmiş hesaplara erişmesine izin verir
Kimlik avı metinleri Apple imessage kullanıcılarını korumayı devre dışı bırakmaya yönlendiriyor
Cezai IP: Microsoft Outlook'a gerçek zamanlı kimlik avı tespiti getirmek
Yeni ayrıntılar, bilgisayar korsanlarının 35 Google Chrome uzantısını nasıl ele geçirdiğini ortaya koyuyor
Microsoft Bing, 'Google' aramalar için yanıltıcı Google benzeri sayfa gösteriyor
Kaynak: Bleeping Computer