​Ironiquement, les cybercriminels utilisent désormais les annonces de recherche Google pour promouvoir des sites de phishing qui volent les informations d’identification des annonceurs pour la plate-forme Google Ads.

Les attaquants diffusent des annonces sur la recherche Google se faisant passer pour des annonces Google, affichant des résultats sponsorisés qui redirigent les victimes potentielles vers de fausses pages de connexion hébergées sur des sites Google, mais ressemblant à la page d’accueil officielle de Google Ads, où elles sont invitées à se connecter à leurs comptes.

Google Sites est utilisé pour héberger des pages de phishing car il permet aux attaquants de camoufler leurs fausses publicités, étant donné que l’URL (sites.google.com) correspond au domaine racine de Google Ads pour une usurpation d’identité complète.

Fausse annonce se faisant passer pour des annonces Google

« En effet, vous ne pouvez pas afficher une URL dans une annonce à moins que votre page de destination (URL finale) ne corresponde au même nom de domaine. Bien que ce soit une règle destinée à protester contre les abus et l’usurpation d’identité, c’est une règle très facile à contourner », saint Jérôme Segura, Directeur principal de la recherche chez Malwarebytes.

« En regardant en arrière l’annonce et la page Google Sites, nous constatons que cette annonce malveillante ne viole pas strictement la règle puisque sites.google.com utilise les mêmes annonces de domaines racine ads.google.com. En d’autres termes, il est permis d’afficher cette URL dans l’annonce, la rendant ainsi indiscernable de la même annonce diffusée par Google LLC. »

​Selon les personnes qui ont été victimes de ces attaques ou les ont vues en action, les attaques comprennent plusieurs étapes:

  1. La victime saisit les informations de son compte Google sur la page de phishing.
  2. Le kit de phishing collecte des identifiants uniques, des cookies et des informations d’identification.
  3. La victime peut recevoir un e-mail indiquant un identifiant provenant d’un endroit inhabituel (Brésil)
  4. Si la victime ne parvient pas à arrêter cette tentative, un nouvel administrateur est ajouté au compte Google Ads via une adresse Gmail différente.
  5. L’acteur de la menace se lance dans une frénésie de dépenses et verrouille les victimes si elles le peuvent
Flux d’attaque

Au moins trois groupes de cybercriminalité sont à l’origine de ces attaques, dont des lusophones opérant très probablement depuis le Brésil, des acteurs de la menace basés en Asie utilisant des comptes d’annonceurs de Hong Kong (ou de Chine) et un troisième gang probablement composé d’Européens de l’Est.

Malwarebytes Labs, qui a repéré cette campagne en cours, estime que l’objectif final des criminels est de vendre les comptes volés sur des forums de piratage et d’utiliser certains d’entre eux pour lancer de futures attaques en utilisant les mêmes techniques de phishing.

« Il s’agit de l’opération de publicité malveillante la plus flagrante que nous ayons jamais suivie, touchant au cœur des activités de Google et affectant probablement des milliers de leurs clients dans le monde entier. Nous avons signalé de nouveaux incidents 24 heures sur 24 et pourtant nous continuons à en identifier de nouveaux, même au moment de la publication », a ajouté Segura.

« Ironiquement, il est tout à fait possible que les particuliers et les entreprises qui mènent des campagnes publicitaires n’utilisent pas de bloqueur de publicités (pour voir leurs publicités et celles de leurs concurrents), ce qui les rend encore plus susceptibles de tomber dans le piège de ces stratagèmes d’hameçonnage. »

Les comptes Google Ads volés sont très recherchés par les cybercriminels, qui les utilisent régulièrement comme carburant dans d’autres attaques qui abusent également des annonces de recherche Google pour diffuser des logiciels malveillants et diverses escroqueries.

« Nous interdisons expressément les publicités qui visent à tromper les gens afin de voler leurs informations ou de les arnaquer. Nos équipes enquêtent activement sur ce problème et travaillent rapidement pour y remédier », a déclaré Google à Breachtrace lorsqu’on lui a demandé de fournir plus de détails sur les attaques.

Tout au long de 2023, Google a également bloqué ou supprimé 206,5 millions de publicités pour violation de sa Politique de fausses déclarations. Il a également supprimé plus de 3,4 milliards d’annonces, restreint plus de 5,7 milliards et suspendu plus de 5,6 millions de comptes d’annonceurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *