Người dùng Google Ads bị nhắm mục tiêu trong trò lừa đảo quảng cáo độc hại đánh cắp thông tin đăng nhập và mã 2FA

Người dùng Google Ads bị nhắm mục tiêu trong trò lừa đảo quảng cáo độc hại đánh cắp thông tin đăng nhập và mã 2FA

Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch quảng cáo độc hại mới nhắm vào các cá nhân và doanh nghiệp quảng cáo qua Google Ads bằng cách cố gắng lừa đảo thông tin đăng nhập của họ thông qua các quảng cáo gian lận trên Google.

"Kế hoạch này bao gồm việc đánh cắp càng nhiều tài khoản của nhà quảng cáo càng tốt bằng cách mạo danh Google Ads và chuyển hướng nạn nhân đến các trang đăng nhập giả mạo", Jérôme Segura, giám đốc cấp cao về tình báo mối đe dọa tại Malwarebytes, cho biết trong một báo cáo được chia sẻ với The Hacker News.

Người ta nghi ngờ mục tiêu cuối cùng của chiến dịch này là sử dụng lại thông tin đăng nhập bị đánh cắp để tiếp tục duy trì các chiến dịch, đồng thời bán chúng cho những kẻ tội phạm khác trên các diễn đàn ngầm. Dựa trên các bài đăng được chia sẻ trên Reddit, Bluesky và các diễn đàn hỗ trợ của riêng Google, mối đe dọa này đã hoạt động ít nhất từ ​​giữa tháng 11 năm 2024.

Cụm hoạt động này rất giống với các chiến dịch sử dụng phần mềm độc hại đánh cắp để đánh cắp dữ liệu liên quan đến quảng cáo trên Facebook và tài khoản doanh nghiệp nhằm chiếm đoạt chúng và sử dụng các tài khoản này cho các chiến dịch quảng cáo độc hại đẩy ra ngoài để phát tán phần mềm độc hại hơn nữa.

Chiến dịch mới được xác định này đặc biệt nhắm vào những người dùng tìm kiếm Google Ads trên công cụ tìm kiếm của Google để cung cấp quảng cáo giả mạo cho Google Ads, khi nhấp vào, quảng cáo sẽ chuyển hướng người dùng đến các trang web gian lận được lưu trữ trên Google Sites.

Sau đó, các trang web này đóng vai trò là trang đích để dẫn khách truy cập đến các trang web lừa đảo bên ngoài được thiết kế để lấy thông tin đăng nhập và mã xác thực hai yếu tố (2FA) của họ thông qua WebSocket và được chuyển đến máy chủ từ xa do kẻ tấn công kiểm soát.

Segura cho biết "Các quảng cáo giả mạo cho Google Ads đến từ nhiều cá nhân và doanh nghiệp (bao gồm cả một sân bay khu vực) ở nhiều địa điểm khác nhau". "Một số tài khoản đó đã chạy hàng trăm quảng cáo hợp pháp khác".

Quảng cáo giả mạo của Google

Một khía cạnh khéo léo của chiến dịch này là nó tận dụng lợi thế là Google Ads không yêu cầu URL cuối cùng - trang web mà người dùng truy cập khi nhấp vào quảng cáo - phải giống với URL hiển thị, miễn là các tên miền khớp nhau.

Điều này cho phép các tác nhân đe dọa lưu trữ các trang đích trung gian của chúng trên sites.google[.]com trong khi vẫn giữ nguyên URL hiển thị là ads.google[.]com. Hơn nữa, phương thức hoạt động này bao gồm việc sử dụng các kỹ thuật như lấy dấu vân tay, phát hiện lưu lượng truy cập chống bot, mồi nhử lấy cảm hứng từ CAPTCHA, ngụy trang và làm tối nghĩa để che giấu cơ sở hạ tầng lừa đảo.

Malwarebytes cho biết thông tin đăng nhập thu thập được sau đó bị lạm dụng để đăng nhập vào tài khoản Google Ads của nạn nhân, thêm quản trị viên mới và sử dụng ngân sách chi tiêu của họ cho các quảng cáo Google giả mạo.

Nói cách khác, những kẻ đe dọa đang chiếm đoạt tài khoản Google Ads để đẩy quảng cáo của riêng chúng nhằm thêm nạn nhân mới vào nhóm tài khoản bị tấn công ngày càng tăng được sử dụng để tiếp tục lừa đảo.

"Có vẻ như có một số cá nhân hoặc nhóm đứng sau các chiến dịch này", Segura cho biết. "Đáng chú ý là phần lớn trong số họ là người nói tiếng Bồ Đào Nha và có khả năng hoạt động ở Brazil. Cơ sở hạ tầng lừa đảo dựa vào các tên miền trung gian có tên miền cấp cao nhất (TLD) .pt, biểu thị Bồ Đào Nha".

"Hoạt động quảng cáo độc hại này không vi phạm các quy tắc quảng cáo của Google. Các tác nhân đe dọa được phép hiển thị URL gian lận trong quảng cáo của họ, khiến chúng không thể phân biệt được với các trang web hợp pháp. Google vẫn chưa cho thấy họ thực hiện các bước chắc chắn để đóng băng các tài khoản như vậy cho đến khi bảo mật của họ được khôi phục."

Trong một tuyên bố được chia sẻ với The Hacker News, một phát ngôn viên của Google cho biết: "Chúng tôi nghiêm cấm các quảng cáo nhằm mục đích lừa đảo mọi người để đánh cắp thông tin hoặc lừa đảo họ. Các nhóm của chúng tôi đang tích cực điều tra vấn đề này và đang nhanh chóng giải quyết vấn đề."

Google cũng cho biết họ đã biết về các chiến dịch quảng cáo độc hại này và đang liên tục theo dõi mạng quảng cáo của mình để phát hiện hành vi lạm dụng và thực hiện các biện pháp thực thi đối với các nhà quảng cáo chạy quảng cáo có ý định lừa người dùng bằng cách che giấu hoặc nhầm lẫn thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ của họ.

Ngoài ra, họ cho biết họ đã xóa hơn 3,4 tỷ quảng cáo, hạn chế hơn 5,7 tỷ quảng cáo và đình chỉ hơn 5,6 triệu tài khoản nhà quảng cáo vào năm 2023. Trong số này, 206,5 triệu quảng cáo đã bị chặn vì vi phạm Chính sách trình bày sai sự thật của họ.

Tiết lộ này được đưa ra khi các chuyên gia bảo mật tiết lộ rằng những kẻ tấn công đang sử dụng các nền tảng như YouTube và SoundCloud để phân phối các liên kết đến trình cài đặt giả mạo cho các phiên bản vi phạm bản quyền của phần mềm phổ biến, cuối cùng dẫn đến việc triển khai nhiều họ phần mềm độc hại khác nhau như Amadey, Lumma Stealer, Mars Stealer, Penguish, PrivateLoader và Vidar Stealer.

"Những kẻ đe dọa thường sử dụng các dịch vụ lưu trữ tệp có uy tín như Mediafire và Mega.nz để che giấu nguồn gốc phần mềm độc hại của chúng và khiến việc phát hiện và xóa bỏ trở nên khó khăn hơn", công ty cho biết. "Nhiều bản tải xuống độc hại được bảo vệ bằng mật khẩu và được mã hóa, điều này làm phức tạp việc phân tích trong các môi trường bảo mật như hộp cát và cho phép phần mềm độc hại tránh được việc phát hiện sớm".

Hương – Theo TheHackerNews