Forscher haben Hacker dabei beobachtet, Phishing-Seiten auf Google Sites zu erstellen. Die Seiten werden dann über Google Ads beworben. Opfer werden aus ihren Accounts ausgesperrt, die entweder benutzt oder verkauft werden.

Cyberkriminelle haben einen Weg gefunden, Google zu missbrauchen und zu imitieren, bösartige Anzeigen im Anzeigennetzwerk der Suchmaschine zu schalten und Anmeldeinformationen von Personen zu stehlen, die ihre Unternehmen bewerben möchten. Diese Warnung stammt von Cybersicherheitsforschern bei Malwarebytes, die Benutzer davor warnen, auch beim Klicken auf Anzeigen von Google selbst vorsichtig zu sein. Die Bedrohungsakteure beginnen damit, eine gefälschte Google Ads-Homepage auf Google Sites zu erstellen, dem Website-Builder des Unternehmens, der Benutzern auch eine Google-URL bereitstellt (ähnlich wie https://sites.google.com/view/sitename) – dann erstellen sie eine gefälschte Anzeige, die eine Promotion oder ein neues Angebot kommuniziert, und platzieren sie im Google Ads-Netzwerk.

Drei Bedrohungsakteure
„Tatsächlich können Sie keine URL in einer Anzeige anzeigen, es sei denn, Ihre Zielseite (End-URL) entspricht dem gleichen Domainnamen. Obwohl dies eine Regel ist, die dazu gedacht ist, Missbrauch und Imitation zu verhindern, ist es eine Regel, die sehr einfach zu umgehen ist“, erklärte Jérôme Segura, Senior Director of Research bei Malwarebytes. „Wenn wir uns die Anzeige und die Google Sites-Seite ansehen, sehen wir, dass diese bösartige Anzeige die Regel nicht streng verletzt, da sites.google.com die gleichen Stamm-Domains wie ads.google.com verwendet. Mit anderen Worten, es ist zulässig, diese URL in der Anzeige anzuzeigen, und sie dadurch nicht von derselben Anzeige zu unterscheiden, die von Google LLC veröffentlicht wurde.“ Opfer, die auf den Trick hereinfallen und auf die Anzeige klicken, werden auf eine Webseite umgeleitet, auf der sie sich einloggen sollen. Sobald sie dies tun, sammelt die Phishing-Seite ihre Anmeldedaten, eindeutigen Identifikatoren und Cookies und leitet die Daten an die Angreifer weiter, die sich dann von einem separaten Google-Konto aus einloggen.
Der letzte Schritt besteht darin, das Opfer aus seinem Konto auszusperren und es zu nutzen, um zusätzliche Kampagnen zu finanzieren, andere Dienste zu kaufen und mehr. Malwarebytes glaubt, dass derzeit mindestens drei Bedrohungsakteure diese Taktik einsetzen: eine brasilianische Gruppe, ein Angreifer aus Asien und eine Gruppe aus einem Ort in Osteuropa.

Via BleepingComputer

Ähnliche Themen:
Chinesische Hacker wechseln zu neuer Malware für Regierungsangriffe
Hier ist eine Liste der besten Antiviren-Tools, die angeboten werden
Dies sind die besten Tools für den Endpunktschutz im Moment.