Μια νέα καμπάνια ηλεκτρονικού “ψαρέματος” που στοχεύει τις συνδέσεις στις Υπηρεσίες Ιστού της Amazon (AWS) καταχράται τις διαφημίσεις Google για να τοποθετήσει ιστοτόπους ηλεκτρονικού “ψαρέματος” στην Αναζήτηση Google για να κλέψει τα διαπιστευτήρια σύνδεσής σας.
Η καμπάνια ανακαλύφθηκε από την Sentinel Labs, οι αναλυτές του οποίου παρατήρησαν τα κακόβουλα αποτελέσματα αναζήτησης στις 30 Ιανουαρίου 2023. Οι κακές διαφημίσεις κατετάγησαν δεύτερη κατά την αναζήτηση για “aws”, ακριβώς πίσω από το προωθημένο αποτέλεσμα αναζήτησης της Amazon.
Αρχικά, οι φορείς απειλών συνέδεσαν τη διαφήμιση απευθείας με τη σελίδα phishing. Ωστόσο, σε μεταγενέστερη φάση, πρόσθεσαν ένα βήμα ανακατεύθυνσης, πιθανόν να αποφύγουν τον εντοπισμό από τα συστήματα εντοπισμού απάτης διαφημίσεων της Google.
Οι κακόβουλες διαφημίσεις της Google οδηγούν το θύμα σε έναν ιστότοπο blogger (“us1-eat-a-w-s.blogspot[.]com”) υπό τον έλεγχο των επιτιθέμενων, ο οποίος είναι αντίγραφο ενός νόμιμου ιστολογίου για vegan food.
Ο ιστότοπος χρησιμοποιεί το «window.location.replace» για να ανακατευθύνει αυτόματα το θύμα σε έναν νέο ιστότοπο που φιλοξενεί την ψεύτικη σελίδα σύνδεσης AWS, που έχει σχεδιαστεί για να φαίνεται αυθεντική.
Ζητείται από το θύμα να επιλέξει εάν είναι χρήστης root ή IAM και στη συνέχεια να εισαγάγει τη διεύθυνση email και τον κωδικό πρόσβασής του. Αυτή η επιλογή βοηθά τους παράγοντες απειλών να κατηγοριοποιήσουν τα κλεμμένα δεδομένα σε δύο κατηγορίες αξίας και χρησιμότητας.
Οι τομείς ηλεκτρονικού “ψαρέματος” που είδαν τα εργαστήρια Sentinel είναι:
- aws1-console-login[.]us
- aws2-console-login[.]xyz
- aws1-ec2-console[.]com
- aws1-us-west[.]πληροφορίες
Ένα ενδιαφέρον χαρακτηριστικό των σελίδων phishing είναι ότι ο συγγραφέας τους έχει συμπεριλάβει μια λειτουργία JavaScript για την απενεργοποίηση των δεξιών κλικ, των μεσαίων κουμπιών του ποντικιού ή των συντομεύσεων πληκτρολογίου.
Η Sentinel Labs λέει ότι αυτός είναι πιθανός ένας μηχανισμός που εμποδίζει τους χρήστες να απομακρυνθούν από τη σελίδα, είτε σκόπιμα είτε κατά λάθος.
Η εταιρεία ασφαλείας αναφέρει ότι βλέπει τα πορτογαλικά να χρησιμοποιούνται ως γλώσσα στα σχόλια και τις μεταβλητές κώδικα JavaScript, ενώ η αρχική σελίδα του τομέα blogger μιμείται μια επιχείρηση βραζιλιάνικων γλυκών. Τέλος, τα στοιχεία Whois που χρησιμοποιούνται για την καταχώρηση των τομέων παραπέμπουν σε άτομο από τη Βραζιλία.
Η Sentinel Labs ανέφερε την κατάχρηση στο CloudFlare, το οποίο προστάτευε τους ιστότοπους phishing και η εταιρεία διαδικτύου έκλεισε γρήγορα τον λογαριασμό. Ωστόσο, τα κακόβουλα Google Ads παραμένουν, ακόμη και αν οι ιστότοποι στους οποίους συνδέονται δεν είναι πλέον online.