Google Ads を舞台にしたマルバタイジング:ユーザーの認証情報や 2FA コードを盗み出していく

Google Ads Users Targeted in Malvertising Scam Stealing Credentials and 2FA Codes

2025/01/15 TheHackerNews — Google Ads で広告を出稿する企業や個人を装い、不正な広告を通じて認証情報を盗み取ろうとする、新たなマルバタイジング・キャンペーンについて、サイバー・セキュリティ研究者たちが警告している。Malwarebytes の senior director of threat intelligence である Jerome Segura は、「この悪意のオペレーションは、Google 広告を装うことで被害者のアカウントを盗み出し、偽のログイン・ページへとリダイレクトするものだ」と、The Hacker News に共有されたレポートで述べている。

このキャンペーンの最終目標は、盗んだ認証情報を再利用してキャンペーンを継続し、それと同時に、地下フォーラムで他の犯罪者に販売することだと思われる。 Reddit/Bluesky/Google などのサポート・フォーラムで共有された情報に基づくと、この脅威は、遅くとも 2024年11月中旬に始まっているという。

Fake Google Ads

この活動クラスターは、情報スティーラーを利用して Facebook の広告やビジネス・アカウントに関連するデータを盗み出し、それらを乗っ取るという。マルウェアを拡散するプッシュアウト・マルバタイジング・キャンペーンのように、盗み出されたアカウントが、悪用されることになる。

今回、特定されたキャンペーンは、Google の検索エンジンから Google Ads に到達するユーザーを主たる標的とし、偽の Google Ads 広告を表示し、それらをクリックした被害者たちを、Google サイトでホストされている不正なサイトへとリダイレクトする。

これらの悪意のサイトは、外部のフィッシング・サイトへと被害者を誘導するランディング・ページとして機能する。また、これらのサイトは、WebSocket 経由で認証情報と 2FA コードをキャプチャし、攻撃者の制御下にあるリモート・サーバへと流出させる役割も担っている。

Jerome Segura は、「Google Ads の偽の広告は、さまざまな場所の、さまざまな個人や企業から発信されているが、その中には空港から発信されたものもある。これらのアカウントの中には、すでに何百もの正当な広告を掲載しているものもある」と述べている。

Fake Google Ads

このキャンペーンの巧妙な点は、ドメインが一致していれば、最終 URL (広告をクリックしたユーザーに対して表示される Web ページ) と、表示 URL が同一である必要がないという、Google Ads の性質を悪用していることにある。

それにより脅威アクターは、表示 URL を “ads.google[.]com” に保持しながら、中間ランディング・ページを “sites.google[.]com” にホストできる。さらに、この手口には、フィンガー・プリンティング/アンチボット・トラフィック検出/CAPTCHA ルアー/クローキング/難読化などの手法を用いて、フィッシング・インフラを隠蔽している。

収集された認証情報だが、その後に、被害者の Google Ads アカウントにサインインし、新しい管理者を追加し、偽の Google 広告に予算を支出するために悪用されると、Malwarebytes は指摘している。

言い換えると、この脅威アクターは、Google Ads アカウントを乗っ取って自身の広告を出稿し、詐欺行為を継続するために悪用される、ハッキング済のアカウントのプールに、新しい被害者を追加していることになる。

Jerome Segura は、「これらのキャンペーンの背後には、複数の個人またはグループがいるようだ。注目すべき点は、脅威アクターの大部分がポルトガル語を話し、おそらくは、ブラジルで活動していることである。ない、そのフィッシング・インフラは、ポルトガルを示す “.pt” TLD を持つ、中間ドメインに依存している」と指摘している。

彼は、「この悪質な広告活動は、Google の広告ルールに違反していない。したがって、脅威アクターたちは、広告に不正な URL を表示し、正当なサイトとの区別ができないようにできる。その一方で Google は、セキュリティが回復するまで、そのようなアカウントを凍結すべきだが、そのための明確な措置を講じていないことを、現時点でも示していない」と付け加えている。

先日に Trend Micro が明らかにしたのは、YouTube や SoundCloud などのプラットフォームを悪用する攻撃者が、人気ソフトウェアの海賊版の偽インストーラーへのリンクを配布し、Amadey/Lumma Stealer/Mars Stealer/Penguish/PrivateLoader/Vidar Stealer などのマルウェア・ファミリーの展開していたことだ。それを受けるかたちで、今回の情報は開示されている。

Trend Micro は、「脅威アクターたちは、マルウェアの出所を隠し、検出と削除を困難にするために、Mediafire や Mega.nz などの評判の良いファイル・ホスティング・サービスを多用する。数多くの悪質なダウンロードは、パスワードで保護され、暗号化されているため、サンドボックスなどのセキュリティ環境での分析が複雑になり、マルウェアの早期検出に失敗する可能性がある」と解説している。

このマルバタイジング・キャンペーンですが、URL の不一致という視点では、Google Ads のルールに違反していないとのことです。それが、こうした犯罪の温床になっているのですが、対応も鈍いようです。その一方では、2025/01/13 の「Google Ads のポリシー変更:広告主に対して Digital Fingerprinting 使用を解禁?」のようはトピックも提供しています。よろしければ、Malvertising で検索と併せて、ご参照ください。