
Peneliti cybersecurity telah menemukan kampanye buruk yang menargetkan pengiklan Microsoft dengan iklan Google palsu yang bertujuan membawa mereka ke halaman phishing yang mampu memanen kredensial mereka.
“Iklan berbahaya ini, yang muncul di Google Search, dirancang untuk mencuri informasi login pengguna yang mencoba mengakses platform periklanan Microsoft,” Jérôme Segura, direktur senior penelitian di Malwarebytes, dalam laporan Kamis.
Temuan ini datang beberapa minggu setelah perusahaan cybersecurity mengekspos kampanye serupa yang memanfaatkan iklan Google mensponsori untuk menargetkan periklanan individu dan bisnis melalui platform iklan raksasa pencarian.
Set serangan terbaru menargetkan pengguna yang mencari istilah seperti “iklan Microsoft” di Google Search, berharap untuk menipu mereka agar mengklik tautan berbahaya yang disajikan dalam bentuk iklan yang disponsori di halaman hasil pencarian.
Pada saat yang sama, aktor ancaman di balik kampanye menggunakan beberapa teknik untuk menghindari deteksi oleh alat keamanan. Ini termasuk pengalihan lalu lintas yang berasal dari VPN ke situs web pemasaran yang palsu. Pengunjung situs juga dilayani tantangan CloudFlare dalam upaya untuk menyaring bot.

Last but not least, pengguna yang mencoba untuk langsung mengunjungi halaman arahan terakhir (“ads.mcrosoftt[.]com “) digerogoti dengan mengarahkan mereka ke video YouTube yang ditautkan ke meme internet yang terkenal.
Halaman phishing adalah versi mirip dari rekannya yang sah (“ADS.Microsoft[.]com “) Itu dirancang untuk menangkap kredensial login korban dan kode otentikasi dua faktor (2FA), memberi para penyerang kemampuan untuk membajak akun mereka.
Malwarebytes mengatakan pihaknya mengidentifikasi infrastruktur phishing tambahan yang menargetkan akun Microsoft yang akan kembali ke beberapa tahun, menunjukkan bahwa kampanye telah berlangsung selama beberapa waktu dan mungkin juga menargetkan platform periklanan lain seperti Meta.
Aspek penting lainnya adalah bahwa mayoritas domain phishing di-host di Brasil atau memiliki domain tingkat atas “.com.br” Brasil, menggambar paralel dengan kampanye yang ditujukan untuk pengguna iklan Google, yang sebagian besar di-host di “. pt “tld.
The Hacker News telah menjangkau Google untuk memberikan komentar, tetapi perusahaan sebelumnya mengatakan kepada Hacker News bahwa dibutuhkan langkah -langkah untuk melarang iklan yang berupaya menipu pengguna dengan tujuan mencuri informasi mereka, dan bahwa mereka telah bekerja secara aktif untuk menegakkan penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan terhadap penanggulangan secara aktif secara aktif secara aktif upaya seperti itu.

Serangan Smishing menyamar sebagai USPS
Pengungkapan ini mengikuti kemunculan kampanye phishing SMS yang menggunakan umpan pengiriman paket yang gagal untuk secara eksklusif menargetkan pengguna perangkat seluler dengan menyamar sebagai Layanan Pos Amerika Serikat (USPS).
“Kampanye ini menggunakan taktik rekayasa sosial yang canggih dan cara kebingungan yang belum pernah dilihat sebelumnya untuk mengirimkan file PDF berbahaya yang dirancang untuk mencuri kredensial dan mengkompromikan data sensitif,” kata peneliti Zimperium Zlab Fernando Ortega dalam sebuah laporan yang diterbitkan minggu ini.
Pesan mendesak penerima untuk membuka file PDF yang menyertainya untuk memperbarui alamat mereka untuk menyelesaikan pengiriman. Hadir dalam dokumen PDF adalah tombol “Klik Perbarui” yang mengarahkan korban ke halaman web USPS Phishing, di mana mereka diminta untuk memasukkan alamat surat, alamat email, dan nomor telepon mereka.
Halaman phishing juga diperlengkapi untuk menangkap detail kartu pembayaran mereka dengan kedok biaya layanan untuk pengalihan. Data yang dimasukkan kemudian dienkripsi dan dikirim ke server jarak jauh di bawah kendali penyerang. Sebanyak 20 PDF berbahaya dan 630 halaman phishing telah terdeteksi sebagai bagian dari kampanye, menunjukkan operasi skala besar.
“PDF yang digunakan dalam kampanye ini menanamkan tautan yang dapat diklik tanpa menggunakan tag standar /URI, membuatnya lebih menantang untuk mengekstrak URL selama analisis,” kata Ortega. “Metode ini memungkinkan URL berbahaya yang diketahui dalam file PDF untuk mendeteksi bypass oleh beberapa solusi keamanan titik akhir.”
Kegiatan ini adalah tanda bahwa penjahat cyber mengeksploitasi kesenjangan keamanan di perangkat seluler untuk melakukan serangan rekayasa sosial yang memanfaatkan kepercayaan pengguna pada merek populer dan komunikasi yang tampak resmi.
Serangan Smishing bertema USPS yang serupa juga telah menggunakan iMessage Apple untuk memberikan halaman phishing, sebuah teknik yang diketahui diadopsi oleh aktor ancaman berbahasa Cina, Smishing Triad.

Pesan -pesan semacam itu juga secara cerdik berupaya mem -bypass tindakan pengaman di iMessage yang mencegah tautan dari dapat diklik kecuali pesan tersebut dari pengirim yang diketahui atau dari akun yang menjawab pengguna. Ini dilakukan dengan memasukkan pesan “Harap balas y” atau “Harap balas 1” dalam upaya untuk mematikan perlindungan phishing bawaan Imessage.
Perlu dicatat bahwa pendekatan ini sebelumnya telah dikaitkan dengan toolkit phishing-as-a-service (PHAAS) bernama Darcula, yang telah digunakan untuk secara luas menargetkan layanan pos seperti USPS dan organisasi mapan lainnya di lebih dari 100 negara.
“Para scammers telah membangun serangan ini secara relatif baik, yang mungkin mengapa itu terlihat begitu sering di alam liar,” kata peneliti Huntress Truman Kain. “Kebenaran sederhananya adalah berhasil.”