Фахівці Malwarebytes попереджають, що хакери почали використовувати рекламу в Google для просування фішингових сайтів, які крадуть облікові дані з акаунтів Google Ads.

Зловмисники розміщують свої оголошення в пошуковій видачі Google, прикидаючись рекламою Google Ads. Такі посилання приводять користувачів на підроблені сторінки входу, розміщені на Google Sites. Візуально вони повторюють офіційний сайт Google Ads, і потенційну жертву просять увійти в обліковий запис.

Google Sites використовується для розміщення фішингових сторінок, тому що домен sites.google.com збігається з кореневим доменом Google. Це допомагає злочинцям маскувати свої підробки під офіційні ресурси.

«Звичайно, не можна показувати URL в рекламі, якщо ваша цільова сторінка (кінцевий URL) не збігається з тим же доменним ім’ям. Хоча це правило покликане захистити від зловживань і шахрайства, його дуже легко обійти, — пояснює Жером Сегура (Jérôme Segura), старший дослідник Malwarebytes. — Якщо подивитися на оголошення і сторінку Google Sites, ми побачимо, що шкідливе оголошення не порушує правил, оскільки sites.google.com використовує ті ж кореневі домени, що і ads.google.com. Іншими словами, дозволено показувати цей URL в оголошенні, що робить його не відрізнимим від такого ж оголошення, дійсно розміщеного Google LLC».

У Malwarebytes вважають, що за цими атаками стоять щонайменше три хакерські угруповання: угруповання з Бразилії, яке розмовляє португальською мовою; група з Азії, яка використовує акаунти рекламодавців з Гонконгу та Китаю; а також якась команда зі Східної Європи.

Дослідники вважають, що головна мета хакерів — продавати вкрадені акаунти в даркнеті, а також використовувати деякі з них для подальших атак за аналогічною схемою.

Після публікації звіту Malwarebytes представники Google повідомили, що вже займаються цією проблемою:

«Ми категорично забороняємо рекламу, створену з метою обману людей, крадіжки їхніх даних або проведення шахрайських дій. Наші фахівці вже активно вивчають цю проблему і працюють над її якнайшвидшим усуненням».