Devis de remise multi-licences
Données concernant les menaces Hameçonnage Arnaque publicitaire malveillante sur Google Ads

Arnaque publicitaire malveillante sur Google Ads

Par Mezo en Hameçonnage
Se traduisent par :
Français

Des chercheurs en cybersécurité ont découvert une nouvelle campagne de malvertising ciblant les particuliers et les entreprises qui font de la publicité via Google Ads. Cette arnaque consiste à diffuser des publicités trompeuses qui se font passer pour Google Ads, attirant les victimes dans des pièges de phishing conçus pour voler leurs identifiants.

Objectif : prendre le contrôle du compte

L'objectif principal des pirates est de détourner autant de comptes Google Ads que possible. En redirigeant les victimes vers de fausses pages de connexion, ils volent des identifiants qui pourraient être réutilisés pour développer leurs campagnes. De plus, ces comptes détournés sont probablement vendus sur des forums clandestins. Des rapports sur Reddit, Bluesky et les forums d'assistance de Google indiquent que cette activité se poursuit depuis au moins la mi-novembre 2024.

Similitudes avec les tactiques des comptes professionnels Facebook

Les tactiques utilisées dans cette campagne ressemblent beaucoup à celles employées lors d'attaques précédentes visant les comptes professionnels et publicitaires de Facebook. Dans ces cas, les cybercriminels ont déployé des programmes malveillants de vol pour obtenir un accès non autorisé aux comptes piratés et utiliser ces derniers pour de fausses campagnes publicitaires qui ont ensuite propagé le programme malveillant.

Exploitation des moteurs de recherche et tactiques de redirection

Les pirates informatiques ont conçu leur campagne pour qu'elle apparaisse lorsque les utilisateurs recherchent « Google Ads » sur le moteur de recherche de Google. En cliquant sur ces publicités frauduleuses, les utilisateurs sont redirigés vers des sites de phishing hébergés sur Google Sites. Ces sites dirigent ensuite les visiteurs vers des pages de phishing externes qui capturent les identifiants de connexion et les codes d'authentification à deux facteurs (2FA). Les données collectées sont ensuite transmises via WebSocket à un serveur externe géré par les attaquants.

Exploiter les politiques d'URL de Google Ads

L'une des stratégies clés permettant cette attaque est la politique de Google Ads qui permet à l'URL finale (la page de destination après avoir cliqué sur une annonce) d'être différente de l'URL d'affichage tant que les domaines correspondent. Cette faille permet aux attaquants d'héberger des pages de phishing intermédiaires sur Google Sites tout en affichant des URL qui semblent être des liens Google Ads légitimes.

Techniques d'évasion avancées

Pour échapper à la détection, les attaquants emploient plusieurs techniques, notamment l'identification par empreinte digitale, la détection anti-bot, le masquage, les leurres inspirés du CAPTCHA et les méthodes d'obscurcissement qui dissimulent la véritable nature de leur infrastructure de phishing. Ces tactiques leur permettent de contourner les mesures de sécurité et d'éviter d'être repérés par les systèmes automatisés.

Utilisation des comptes compromis comme arme

Une fois le compte compromis, les pirates se connectent, ajoutent un nouvel administrateur et exploitent le budget publicitaire de la victime pour diffuser des annonces Google frauduleuses. Cela leur permet d'étendre leurs opérations de phishing, créant ainsi un cycle dans lequel les comptes piratés sont utilisés pour attirer encore plus de victimes.

Liens possibles avec des acteurs malveillants basés au Brésil

Les éléments suggèrent que plusieurs individus ou groupes sont à l'origine de ces campagnes. Il convient de noter que bon nombre d'entre eux sont lusophones et opèrent probablement depuis le Brésil. L'infrastructure de phishing utilise des domaines intermédiaires avec le domaine de premier niveau (TLD) .pt du Portugal, ce qui renforce encore cette hypothèse.

Réponse de Google aux publicités frauduleuses

Google a reconnu ces campagnes malveillantes et surveille activement son réseau publicitaire pour prévenir les abus. L'entreprise applique des mesures strictes contre les annonceurs trompeurs qui tentent d'induire les utilisateurs en erreur sur leurs activités, produits ou services.

Des milliards de publicités supprimées pour lutter contre les menaces

Rien qu'en 2023, Google a supprimé plus de 3,4 milliards de publicités, restreint plus de 5,7 milliards de publicités et suspendu environ 5,6 millions de comptes d'annonceurs. Parmi celles-ci, 206,5 millions ont été explicitement bloquées pour violation de la politique de Google en matière de fausses déclarations. Ces chiffres mettent en évidence la lutte continue contre la publicité frauduleuse et l'engagement de Google à maintenir l'intégrité des publicités.

Tendance

Escroquerie par e-mail concernant les paiements en...

Hameçonnage, Courrier indésirable
Les cybermenaces évoluent quotidiennement et les fraudeurs élaborent sans cesse de nouvelles tactiques pour exploiter les individus sans méfiance. L'arnaque par e-mail aux paiements en souffrance, par exemple, appâte les victimes en leur faisant croire qu'elles ont de l'argent non réclamé. Comprendre le fonctionnement de cette tactique est essentiel pour se protéger, ainsi que les autres,...

Le plus regardé

Chargement...