Onderzoekers op het gebied van cyberbeveiliging hebben gewaarschuwd voor een nieuwe malvertisingcampagne die zich richt op individuen en bedrijven die adverteren via Google Ads door te proberen hun inloggegevens te achterhalen via frauduleuze advertenties op Google.
“Het plan bestaat uit het stelen van zoveel mogelijk adverteerdersaccounts door zich voor te doen als Google Ads en de slachtoffers door te sturen naar valse inlogpagina’s”, zegt Jérôme Segura, senior director threat intelligence bij Malwarebytes, in een rapport gedeeld met The Hacker News.
Er wordt vermoed dat het einddoel van de campagne is om de gestolen inloggegevens te hergebruiken om de campagnes verder te bestendigen, terwijl ze ook aan andere criminele actoren op ondergrondse forums worden verkocht. Op basis van berichten die zijn gedeeld op Reddit, Bluesky en de eigen ondersteuningsforums van Google is de dreiging minstens sinds half november 2024 actief.
Het activiteitencluster lijkt veel op campagnes die stealer-malware gebruiken om gegevens met betrekking tot Facebook-advertenties en zakelijke accounts te stelen om deze te kapen en de accounts te gebruiken voor push-out-malvertisingcampagnes die de malware verder verspreiden.
De nieuw geïdentificeerde campagne richt zich specifiek op gebruikers die op de eigen zoekmachine van Google naar Google Ads zoeken om valse advertenties voor Google Ads weer te geven die, wanneer erop wordt geklikt, gebruikers omleiden naar frauduleuze sites die worden gehost op Google Sites.
Deze sites dienen vervolgens als landingspagina’s om de bezoekers naar externe phishing-sites te leiden die zijn ontworpen om hun inloggegevens en tweefactorauthenticatiecodes (2FA) via een WebSocket vast te leggen en te exfiltreren naar een externe server onder controle van de aanvaller.
“De nepadvertenties voor Google Ads zijn afkomstig van een verscheidenheid aan individuen en bedrijven (waaronder een regionale luchthaven), op verschillende locaties”, aldus Segura. “Sommige van die accounts vertoonden al honderden andere legitieme advertenties.”

Een ingenieus aspect van de campagne is dat er gebruik wordt gemaakt van het feit dat Google Ads niet vereist dat de uiteindelijke URL (de webpagina die gebruikers bereiken als ze op de advertentie klikken) hetzelfde is als de zichtbare URL, zolang de domeinen overeenkomen.
Hierdoor kunnen de bedreigingsactoren hun tussenliggende landingspagina’s hosten op sites.google(.)com terwijl de zichtbare URL’s ads.google(.)com behouden. Bovendien omvat de modus operandi het gebruik van technieken als vingerafdrukken, anti-botverkeersdetectie, een CAPTCHA-geïnspireerde lokmiddel, cloaking en obfuscatie om de phishing-infrastructuur te verbergen.
Malwarebytes zei dat de verzamelde inloggegevens vervolgens worden misbruikt om in te loggen op het Google Ads-account van het slachtoffer, een nieuwe beheerder toe te voegen en hun bestedingsbudget te gebruiken voor nep-Google-advertenties.
Met andere woorden: de bedreigingsactoren nemen Google Ads-accounts over om hun eigen advertenties te promoten en zo nieuwe slachtoffers toe te voegen aan een groeiende verzameling gehackte accounts die worden gebruikt om de zwendel verder te bestendigen.
“Er lijken verschillende individuen of groepen achter deze campagnes te zitten”, zei Segura. “Opmerkelijk is dat de meerderheid van hen Portugeessprekend is en waarschijnlijk vanuit Brazilië opereert. De phishing-infrastructuur is afhankelijk van intermediaire domeinen met het .pt-topniveaudomein (TLD), indicatief voor Portugal.”
“Deze kwaadaardige advertentieactiviteit is niet in strijd met de advertentieregels van Google. Bedreigingsactoren mogen frauduleuze URL’s in hun advertenties weergeven, waardoor deze niet te onderscheiden zijn van legitieme sites. Google moet nog aantonen dat het definitieve stappen neemt om dergelijke accounts te bevriezen totdat hun veiligheid is hersteld .”
De onthulling komt nadat Trend Micro onthulde dat aanvallers platforms zoals YouTube en SoundCloud gebruiken om links naar nep-installatieprogramma’s voor illegale versies van populaire software te verspreiden die uiteindelijk leiden tot de inzet van verschillende malwarefamilies zoals Amadey, Lumma Stealer, Mars Stealer, Penguish , PrivateLoader en Vidar Stealer.
“Dreigingsactoren maken vaak gebruik van gerenommeerde bestandshostingdiensten zoals Mediafire en Mega.nz om de oorsprong van hun malware te verbergen en detectie en verwijdering moeilijker te maken”, aldus het bedrijf. “Veel kwaadaardige downloads zijn met een wachtwoord beveiligd en gecodeerd, wat de analyse in beveiligingsomgevingen zoals sandboxes bemoeilijkt en ervoor zorgt dat malware vroegtijdige detectie kan omzeilen.”