Un'ondata di attacchi informatici senza precedenti sta mettendo a rischio gli inserzionisti di Google Ads, sfruttando ironicamente proprio le pubblicità di Google per perpetrare le frodi. Secondo un rapporto dettagliato di Malwarebytes Labs, i cybercriminali stanno utilizzando gli annunci di ricerca di Google per promuovere siti di phishing che rubano le credenziali di accesso degli inserzionisti alla piattaforma Google Ads.
Questa campagna, definita "la più eclatante operazione di malvertising mai tracciata" da Jérôme Segura, Senior Director of Research di Malwarebytes, si basa su un'ingegnosa strategia che sfrutta le stesse regole di Google per eludere i controlli di sicurezza. Gli attaccanti pubblicano annunci sponsorizzati che imitano perfettamente quelli di Google Ads, reindirizzando le potenziali vittime verso pagine di login false, ospitate su Google Sites, ma con l'aspetto identico alla homepage ufficiale di Google Ads.
L'utilizzo di Google Sites per ospitare queste pagine di phishing è un elemento chiave della truffa. Poiché l'URL (sites.google.com) corrisponde al dominio principale di Google Ads, gli attaccanti possono camuffare i loro annunci falsi, rendendoli indistinguibili da quelli legittimi.
"In effetti, non è possibile mostrare un URL in un annuncio a meno che la tua pagina di destinazione (URL finale) non corrisponda allo stesso nome di dominio," spiega Segura. "Questa è una regola pensata per proteggere dagli abusi e dalle impersonificazioni, ma è anche molto facile da aggirare"
In questo caso, l'annuncio dannoso non viola strettamente la regola, poiché sites.google.com utilizza lo stesso dominio principale di ads.google.com. Questo permette di mostrare l'URL nell'annuncio, rendendolo indistinguibile da un annuncio autentico di Google.
Le vittime, attirate dall'apparente legittimità dell'annuncio, inseriscono le proprie credenziali di accesso a Google nella pagina di phishing. Il kit di phishing raccoglie quindi identificatori univoci, cookie e credenziali. In seguito, la vittima potrebbe ricevere un'email che segnala un accesso da una posizione insolita (spesso il Brasile). Se la vittima non interviene tempestivamente, un nuovo amministratore viene aggiunto all'account Google Ads tramite un indirizzo Gmail diverso, permettendo ai criminali di prendere il controllo dell'account.
A quel punto, i truffatori possono spendere il budget pubblicitario della vittima e, in alcuni casi, persino escludere la vittima stessa dall'account. Malwarebytes Labs ha identificato almeno tre gruppi criminali coinvolti in questi attacchi: un gruppo di lingua portoghese probabilmente operante dal Brasile, un gruppo asiatico che utilizza account di inserzionisti di Hong Kong (o Cina) e un terzo gruppo probabilmente composto da europei dell'est.
L'obiettivo finale di questi criminali sembra essere la vendita degli account rubati sui forum di hacking e il loro utilizzo per lanciare ulteriori attacchi con le stesse tecniche di phishing.
"Questa operazione colpisce il cuore del business di Google e probabilmente sta influenzando migliaia di clienti in tutto il mondo," afferma Segura. "Abbiamo segnalato nuovi incidenti 24 ore su 24 e continuiamo a identificarne di nuovi, anche al momento della pubblicazione".
L'ironia della situazione è evidente: gli inserzionisti, per monitorare le proprie campagne e quelle dei concorrenti, spesso non utilizzano ad-blocker, rendendosi così ancora più vulnerabili a queste truffe. Gli account Google Ads rubati sono infatti molto ambiti dai cybercriminali, che li utilizzano regolarmente per alimentare altre campagne malevole che sfruttano gli annunci di ricerca di Google per diffondere malware e truffe di vario genere.
Google, interpellata da BleepingComputer, ha dichiarato:
"Proibiamo espressamente gli annunci che mirano a ingannare le persone per rubare le loro informazioni o truffarle. I nostri team stanno indagando attivamente su questo problema e stanno lavorando rapidamente per risolverlo".
Nel corso del 2023, Google ha bloccato o rimosso 206,5 milioni di annunci per violazione delle sue norme sulla falsa rappresentazione. Ha inoltre rimosso oltre 3,4 miliardi di annunci, ne ha limitati oltre 5,7 miliardi e ha sospeso oltre 5,6 milioni di account di inserzionisti. Questi numeri sottolineano la vastità del problema e la continua lotta contro le attività fraudolente online.
Questa campagna di phishing dimostra la crescente sofisticazione dei cybercriminali e la loro capacità di sfruttare le stesse piattaforme che mirano a proteggere gli utenti. La situazione richiede una maggiore vigilanza da parte degli inserzionisti e un rafforzamento delle misure di sicurezza da parte di Google per prevenire futuri attacchi.