Malwarebytes: мошенники создают точные клоны страниц входа Google Ads

Киберпреступники из Бразилии и Азии распространяют вредоносные объявления в Google, которые маскируются под платформу Google Ads. Пользователи, введя свои учетные данные на поддельных страницах, невольно помогают злоумышленникам взламывать еще больше аккаунтов.

Эксперты из Malwarebytes Labs обнаружили , что мошеннические объявления появляются в поиске Google и выглядят как настоящая реклама платформы Google Ads. Например, если пользователь ищет Google Ads, верхняя позиция в результатах может быть занята поддельным объявлением. Перейдя по ссылке, пользователь оказывается на фальшивой странице входа, имитирующей официальную платформу.

Здесь злоумышленники собирают учетные данные и создают фальшивые аккаунты администраторов. Исследователи Malwarebytes Labs назвали эту кампанию «самой дерзкой операцией с использованием вредоносной рекламы», так как она наносит удар по самому ядру бизнеса Google, потенциально затрагивая тысячи клиентов компании.

Похищенные аккаунты перепродаются на теневых форумах или используются для дальнейших атак. По словам экспертов, учетные записи Google Ads представляют собой ценный ресурс для киберпреступников.

Хотя пользователи могут проверить информацию о рекламодателе через меню с тремя точками, фальшивые объявления все же кажутся легитимными. Часто мошенники используют аккаунты, которые уже имеют большое количество активных легальных объявлений. Например, в одной из кампаний был взломан аккаунт тайваньской компании, производящей электронику.

Фишинговые страницы размещаются на платформе Google Sites, что позволяет злоумышленникам создавать ссылки с доменом Google, практически неотличимые от настоящих.

В течение нескольких дней исследователи Malwarebytes Labs выявили и сообщили о более чем 50 мошеннических объявлениях, а также связались с пострадавшими пользователями, потерявшими деньги. Однако злоумышленники продолжают оставаться активными, несмотря на блокировки. «Мы быстро поняли, что независимо от того, сколько инцидентов и блокировок было сообщено, злоумышленники продолжали поддерживать хотя бы одно мошенническое объявление 24/7», — сообщили в Malwarebytes Labs.

Некоторые жертвы получили уведомления о подозрительных входах в аккаунты из Бразилии. Malwarebytes Labs выделяет две основные группы атакующих: одна из них состоит из португалоязычных пользователей, предположительно базирующихся в Бразилии, другая – из Гонконга. Кроме того, обнаружена третья группа, работающая в Восточной Европе, которая использует сложные методы маскировки и поддельные страницы Google Authenticator.

Специалисты подчеркивают, что такие схемы часто включают многоступенчатую переадресацию, позволяя скрывать следы и поддерживать активность мошеннических кампаний.