谷歌广告用户遭遇钓鱼诈骗，恶意广告窃取凭证及二次验证码

网络安全研究人员发出警告，一项新的恶意广告活动正针对通过谷歌广告进行宣传的个人和企业，试图通过谷歌上的欺诈广告进行网络钓鱼，窃取他们的登录凭证。

Malwarebytes威胁情报高级总监Jérôme Segura在一份与The Hacker News共享的报告中指出：“该诈骗方案通过冒充谷歌广告，诱骗受害者访问假冒的登录页面，从而窃取尽可能多的广告主账户。”

据推测，该活动的最终目的是利用窃取的凭证继续扩大诈骗活动，同时还在地下论坛上将这些凭证出售给其他犯罪分子。根据Reddit、Bluesky和谷歌官方支持论坛上的帖子，这一威胁自2024年11月中旬以来便已开始活跃。

这一系列活动与利用窃取器恶意软件窃取与Facebook广告和商业账户相关的数据，以劫持这些账户并用于推送进一步传播恶意软件的恶意广告活动的行为极为相似。

新发现的诈骗活动专门针对在谷歌搜索引擎上搜索谷歌广告的用户，向他们展示虚假的谷歌广告，点击后会将用户重定向到托管在Google Sites上的欺诈网站。

这些网站作为着陆页，引导访问者访问外部钓鱼网站，这些网站通过WebSocket捕获他们的登录凭证和二次验证码（2FA），并将其传输到攻击者控制的远程服务器上。

Segura表示：“这些假冒的谷歌广告来自不同地点和行业的个人和企业（包括一家地区机场）。其中一些账户已有数百条其他合法广告在运行。”

该诈骗活动的一个巧妙之处在于，它利用了谷歌广告不要求最终URL（用户点击广告后到达的网页）与展示URL必须相同（只要域名匹配）的规则。

这使得威胁分子可以在sites.google[.]com上托管他们的中间着陆页，同时保持展示URL为ads.google[.]com。此外，他们的作案手法还包括使用指纹技术、反爬虫流量检测、受验证码启发的诱饵、伪装和混淆等技术来隐藏钓鱼基础设施。

Malwarebytes表示，窃取的凭证随后被用于登录受害者的谷歌广告账户，添加新的管理员，并利用他们的预算发布虚假的谷歌广告。

换句话说，威胁分子正在接管谷歌广告账户来推送自己的广告，以便将新受害者添加到不断增长的被黑客攻击的账户池中，这些账户被用于进一步延续诈骗活动。

Segura说：“这些活动背后似乎有几个个人或团体。值得注意的是，他们中的大多数是葡萄牙语使用者，可能位于巴西。钓鱼基础设施依赖于使用.pt顶级域名（TLD）的中间域名，这表明与葡萄牙有关。”

“这种恶意广告活动并不违反谷歌的广告规则。威胁分子被允许在广告中显示欺诈性URL，使其与合法网站难以区分。谷歌尚未表明它采取了决定性措施来冻结这些账户，直到其安全性得到恢复。”

这一披露之际，Trend Micro透露，攻击者正在利用YouTube和SoundCloud等平台分发指向假冒安装程序的链接，这些安装程序针对的是流行软件的盗版版本，最终会导致部署各种恶意软件家族，如Amadey、Lumma Stealer、Mars Stealer、Penguish、PrivateLoader和Vidar Stealer。

该公司表示：“威胁分子经常使用Mediafire和Mega.nz等可信赖的文件托管服务来隐藏恶意软件的来源，并使检测和清除变得更加困难。许多恶意下载都受到密码保护并进行了编码，这在沙箱等安全环境中增加了分析的复杂性，并使恶意软件能够逃避早期检测。”

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；