Google Ads Users Targeted in Malvertising Scam Stealing Credentials and 2FA Codes
- 공격 개요
- 사이버 공격자는 Google Ads를 광고 플랫폼으로 사용하는 개인 및 기업을 대상으로 악성 광고 캠페인 실행
- 가짜 Google Ads 광고를 통해 사용자를 피싱 사이트로 유도, 자격 증명 및 이중 인증(2FA) 코드 탈취
- 공격 전술
- 가짜 광고 표시
- Google 검색에서 "Google Ads"를 검색하는 사용자를 타겟
- 클릭 시 Google Sites에 호스팅된 중간 랜딩 페이지로 리디렉션, 이후 외부 피싱 사이트로 연결
- 악성 기법
- 피싱 사이트를 통해 자격 증명 및 2FA 코드를 WebSocket으로 원격 서버로 전송
- Google Ads의 규정을 악용해 표시 URL과 최종 URL을 일치시키지 않고 도메인만 매칭
- 캠페인 특징
- 피싱 인프라에 지문 인식, CAPTCHA, 클로킹, 난독화 기술 활용
- 피해자의 Google Ads 계정에 관리자 추가 후, 광고 예산을 악용해 가짜 광고 배포
- 피해 확산
- 탈취된 계정을 사용하여 추가 피해자를 타겟으로 한 새로운 악성 광고 캠페인 실행
- 가짜 광고 표시
- 공격의 기원 및 규모
- 포르투갈 도메인(.pt)을 사용하는 인프라로 인해 주요 행위자는 브라질 기반으로 추정
- Reddit, Bluesky, Google 지원 포럼에서 2024년 11월 중순부터 공격 활동 보고
- Google의 대응
- Google은 악성 광고 캠페인에 대해 조사 중이며 관련 계정에 대한 집행 조치를 강화
- 2023년에 34억 개 이상의 광고를 제거, 57억 개의 광고 제한, 560만 개의 광고 계정 정지
- 206.5백만 개의 광고가 오정보 정책(Misrepresentation Policy) 위반으로 차단
- 결론
- Google Ads 사용자는 이메일 링크 및 광고 클릭 시 URL 검증 필요
- 기업은 Google Ads 계정 보호를 위해 다단계 인증(MFA), 자격 증명 주기적 변경 권장
- Google은 광고 규정을 강화하고 악성 활동을 더 신속히 탐지 및 차단하는 시스템 개발 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Clop 랜섬웨어, Cleo 파일 전송 소프트웨어 취약점 악용 (0) | 2025.01.25 |
|---|---|
| 도커와 OCI 컨테이너를 사용해야 하는 이유 (0) | 2025.01.25 |
| Black Basta 스타일 사이버 공격: 90분 만에 1,165개의 악성 이메일 전송 (1) | 2025.01.25 |
| Lazarus Group의 Operation 99: Web3 및 암호화폐 개발자를 겨냥한 사이버 공격 (1) | 2025.01.25 |
| ShadowSyndicate: RansomHub 랜섬웨어 추가와 공격 확산 (0) | 2025.01.25 |