
Peneliti keamanan siber telah memperingatkan adanya kampanye maliklan baru yang menargetkan individu dan bisnis yang beriklan melalui Google Ads dengan mencoba melakukan phishing untuk mendapatkan kredensial mereka melalui iklan palsu di Google.
“Skema ini terdiri dari mencuri sebanyak mungkin akun pengiklan dengan meniru Google Ads dan mengarahkan korban ke halaman login palsu,” Jérôme Segura, direktur senior intelijen ancaman di Malwarebytes, mengatakan dalam laporan yang dibagikan kepada The Hacker News.
Diduga tujuan akhir dari kampanye ini adalah untuk menggunakan kembali kredensial yang dicuri untuk melanggengkan kampanye, sekaligus menjualnya kepada pelaku kriminal lainnya di forum bawah tanah. Berdasarkan postingan yang dibagikan di Reddit, Bluesky, dan forum dukungan Google sendiri, ancaman tersebut telah aktif setidaknya sejak pertengahan November 2024.

Cluster aktivitas ini sangat mirip dengan kampanye yang memanfaatkan malware pencuri untuk mencuri data terkait iklan Facebook dan akun bisnis untuk membajaknya dan menggunakan akun tersebut untuk kampanye malvertising yang selanjutnya menyebarkan malware tersebut.
Kampanye yang baru diidentifikasi ini secara khusus memilih pengguna yang menelusuri Google Ads di mesin telusur Google sendiri untuk menayangkan iklan palsu untuk Google Ads yang, bila diklik, mengarahkan pengguna ke situs penipuan yang dihosting di Google Sites.
Situs-situs ini kemudian berfungsi sebagai halaman arahan untuk mengarahkan pengunjung ke situs phishing eksternal yang dirancang untuk menangkap kredensial dan kode otentikasi dua faktor (2FA) mereka melalui WebSocket dan dieksfiltrasi ke server jarak jauh di bawah kendali penyerang.
“Iklan palsu Google Ads berasal dari berbagai individu dan bisnis (termasuk bandara regional), di berbagai lokasi,” kata Segura. “Beberapa dari akun tersebut sudah menjalankan ratusan iklan sah lainnya.”

Aspek cerdik dari kampanye ini adalah bahwa kampanye ini memanfaatkan fakta bahwa Google Ads tidak mengharuskan URL final – laman web yang dibuka pengguna ketika mereka mengeklik iklan – sama dengan URL tayangan, selama URL tersebut kecocokan domain.
Hal ini memungkinkan pelaku ancaman menghosting laman landas perantara mereka di sites.google[.]com sambil mempertahankan URL tayangan sebagai ads.google[.]com. Terlebih lagi, modus operandinya memerlukan penggunaan teknik seperti sidik jari, deteksi lalu lintas anti-bot, iming-iming yang terinspirasi CAPTCHA, penyelubungan, dan kebingungan untuk menyembunyikan infrastruktur phishing.
Malwarebytes mengatakan kredensial yang diambil kemudian disalahgunakan untuk masuk ke akun Google Ads korban, menambahkan administrator baru, dan menggunakan anggaran belanja mereka untuk iklan Google palsu.
Dengan kata lain, pelaku ancaman mengambil alih akun Google Ads untuk mendorong iklan mereka sendiri guna menambah korban baru ke semakin banyak akun yang diretas yang digunakan untuk melanggengkan penipuan lebih lanjut.
“Tampaknya ada beberapa individu atau kelompok di balik kampanye ini,” kata Segura. “Khususnya, sebagian besar dari mereka adalah penutur bahasa Portugis dan kemungkinan besar beroperasi di Brasil. Infrastruktur phishing bergantung pada domain perantara dengan domain tingkat atas (TLD) .pt, yang menunjukkan Portugal.”

“Aktivitas iklan berbahaya ini tidak melanggar aturan periklanan Google. Pelaku ancaman diizinkan untuk menampilkan URL palsu di iklan mereka, sehingga tidak dapat dibedakan dari situs yang sah. Google belum menunjukkan bahwa diperlukan langkah pasti untuk membekukan akun tersebut hingga keamanannya pulih.” .”
Pengungkapan ini terjadi ketika Trend Micro mengungkapkan bahwa penyerang menggunakan platform seperti YouTube dan SoundCloud untuk mendistribusikan tautan ke penginstal palsu untuk versi bajakan dari perangkat lunak populer yang pada akhirnya mengarah pada penyebaran berbagai keluarga malware seperti Amadey, Lumma Stealer, Mars Stealer, Penguish , PrivateLoader, dan Pencuri Vidar.
“Pelaku ancaman sering kali menggunakan layanan hosting file terkemuka seperti Mediafire dan Mega.nz untuk menyembunyikan asal mula malware mereka dan mempersulit pendeteksian dan penghapusan,” kata perusahaan itu. “Banyak unduhan berbahaya dilindungi kata sandi dan dikodekan, sehingga mempersulit analisis dalam lingkungan keamanan seperti kotak pasir dan memungkinkan malware menghindari deteksi dini.”