Siber güvenlik araştırmacıları, Google Ads üzerinden reklam veren bireyleri ve işletmeleri hedef alan yeni bir kötü amaçlı reklam kampanyasına dikkat çekti. Bu kampanya, sahte reklamlarla kullanıcıların kimlik bilgilerini çalmaya çalışıyor.
Malwarebytes’ten tehdit istihbaratından sorumlu kıdemli direktör Jérôme Segura, The Hacker News ile paylaşılan bir raporda, “Bu plan, Google Ads’i taklit ederek olabildiğince fazla reklamveren hesabı çalmayı amaçlıyor ve mağdurları sahte giriş sayfalarına yönlendiriyor” dedi.
Kampanyanın nihai amacının, çalınan kimlik bilgilerini yeniden kullanarak kampanyaları sürdürmek ve aynı zamanda bu bilgileri yeraltı forumlarında diğer suçlulara satmak olduğu şüpheleniliyor. Reddit, Bluesky ve Google’ın kendi destek forumlarında paylaşılan gönderilere göre, bu tehdit en azından Kasım 2024 ortasından beri aktif.
Faaliyet kümesi, Facebook reklamcılığı ve iş hesaplarıyla ilgili veri çalmak için kullanılan stealer zararlılarıyla yapılan kampanyalara oldukça benziyor. Bu kampanyalar, hesapları ele geçirip, onları kötü amaçlı reklamlarla kullanarak zararlıyı daha da yaymak amacıyla hedef alıyor.
Yeni tespit edilen kampanya, özellikle Google’ın kendi arama motorunda Google Ads araması yapan kullanıcıları hedef alıyor. Bu kullanıcılar, tıklanması durumunda Google Sites üzerinde barındırılan sahte sitelere yönlendiren Google Ads için sahte reklamlar görüyorlar.
Bu siteler, ziyaretçileri, kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını toplamak için tasarlanmış dış phishing (oltalama) sitelerine yönlendiren açılış sayfaları olarak hizmet veriyor. WebSocket aracılığıyla bu veriler saldırganın kontrolündeki uzak bir sunucuya sızdırılıyor.
Segura, “Google Ads için sahte reklamlar, farklı bireyler ve işletmeler (bunlar arasında bir bölgesel havaalanı da var) tarafından geliyor ve çeşitli lokasyonlarda görülüyor,” dedi. “Bazı hesaplar zaten yüzlerce başka gerçek reklamı çalıştırıyordu.”
Bu kampanyanın zekice bir yönü, Google Ads’in son URL’sinin – kullanıcıların reklama tıkladıklarında eriştikleri web sayfası – aynı olmasını gerektirmemesi, sadece alan adlarının uyuşması gerektiği gerçeğini kullanıyor olmasıdır.
Bu, tehdit aktörlerinin ara açılış sayfalarını sites.google[.]com üzerinde barındırırken, gösterim URL’lerini ads.google[.]com olarak tutmalarına olanak tanıyor. Dahası, operasyonel yöntem, parmak izi tanıma, bot karşıtı trafik tespiti, CAPTCHA benzeri bir çekicilik, kamuflaj ve kafa karıştırma gibi teknikler kullanarak oltalama altyapısını gizlemeyi içeriyor.
Malwarebytes, toplanan kimlik bilgileriyle ardından kurbanın Google Ads hesabına giriş yapıldığını, yeni bir yönetici eklenerek sahte Google reklamları için harcama bütçelerinin kullanıldığını bildirdi.
Diğer bir deyişle, tehdit aktörleri, Google Ads hesaplarını ele geçirerek kendi reklamlarını yayınlıyor ve bu hesapları kullanarak daha fazla mağdur ekleyerek dolandırıcılığı daha da yaymak için kullanıyorlar.
Segura, “Bu kampanyaların arkasında birden fazla birey veya grup olduğu görünüyor,” dedi. “Özellikle, bunların çoğu Portekizce konuşan ve büyük olasılıkla Brezilya’dan faaliyet gösteriyor. Oltalama altyapısı, Portekiz’i işaret eden .pt üst düzey alan adı (TLD) ile ara alan adlarına dayanıyor.”
“Bu kötü amaçlı reklam faaliyeti, Google’ın reklam kurallarını ihlal etmiyor. Tehdit aktörleri, reklamlarında sahte URL’ler gösterebiliyor ve bunlar, meşru sitelerle ayırt edilemez hale geliyor. Google, bu tür hesapları güvenlikleri geri yüklenene kadar dondurmak için kesin adımlar attığını henüz göstermedi.”
The Hacker News ile paylaşılan bir açıklamada, bir Google sözcüsü, “İnsanları kandırarak bilgilerini çalmayı veya dolandırmayı amaçlayan reklamlara açıkça yasak getiriyoruz. Ekiplerimiz bu konuyu aktif olarak araştırıyor ve hızlı bir şekilde çözmek için çalışıyor” dedi.
Google ayrıca, bu kötü amaçlı reklam kampanyalarının farkında olduğunu ve reklam ağını sürekli olarak izleyerek, iş veya hizmet bilgilerini gizleyerek ya da yanlış göstererek kullanıcıları kandırmayı amaçlayan reklamverenlere karşı yaptırım uygulamak için çalıştığını belirtti.
Buna ek olarak, 2023 yılında 3,4 milyardan fazla reklamı kaldırdığını, 5,7 milyardan fazla reklama kısıtlama getirdiğini ve 5,6 milyon reklamveren hesabını askıya aldığını açıkladı. Bunlardan 206,5 milyon reklam, Yanıltma Politikası’nı ihlal ettiği için engellendi.
Açıklama, Trend Micro’nun saldırganların YouTube ve SoundCloud gibi platformları kullanarak popüler yazılımların korsan sürümleri için sahte yükleyiciler dağıttığını ve bunun sonunda Amadey, Lumma Stealer, Mars Stealer, Penguish, PrivateLoader ve Vidar Stealer gibi çeşitli zararlı yazılım ailelerinin dağıtımına yol açtığını duyurmasının ardından yapıldı.
Şirket, “Tehdit aktörleri, zararlı yazılımlarının kökenini gizlemek ve tespit ve kaldırmayı zorlaştırmak için sıklıkla Mediafire ve Mega.nz gibi güvenilir dosya barındırma hizmetlerini kullanır,” dedi. “Birçok kötü amaçlı indirme şifreli ve kodlanmış olup, güvenlik ortamlarında analiz yapmayı zorlaştırır ve zararlı yazılımların erken tespit edilmesini engeller.”
