Cybersecurityteam ontdekt nieuwe geavanceerde phishing-strategie via Google-advertenties

Het cyberbeveiligingsteam van SlowMist heeft, in samenwerking met het Rabby Wallet-team, wiens product onlangs het doelwit was van een phishing-aanval, een geavanceerde strategie blootgelegd waarbij oplichters Google-advertenties gebruiken om gebruikers te misleiden. Bij deze nieuwe aanpak worden gebruikers omgeleid naar kwaadaardige websites, met het risico een Trojaans paard te downloaden.

Ik heb de Firebase-kortlinkservice van Google gebruikt

SlowMist meldt dat oplichters de Firebase-kortelinkservice van Google gebruiken voor 302-omleidingen, een methode om het weergavemechanisme van Google voor de gek te houden. Door specifieke zoekwoorden in te voeren, worden gebruikers geconfronteerd met zoekresultaten waarin de topposities worden ingenomen door frauduleuze advertenties die op het eerste gezicht lijken door te verwijzen naar de officiële Rabby Wallet-website. Het cyberbeveiligingsteam ontdekte echter dat gebruikers, nadat ze op deze advertenties hadden geklikt en de proxyservers naar verschillende regio’s hadden gewijzigd, werden omgeleid naar een phishing-site. Deze adressen werden voortdurend bijgewerkt en veranderd, afhankelijk van de regio van de gebruiker en het gebruikte type browser.

Het proces maakt gebruik van een kwetsbaarheid in het systeem van Google, die niet in realtime controleert of omleidingslinks zijn gewijzigd. Oplichters beginnen met het opzetten van advertentiecampagnes die gericht zijn op websiteverkeer, waarbij ze het strikte certificeringsproces van Google omzeilen en de Firebase-kortelinkservice van Google gebruiken om omleidingslinks te maken die er legitiem uitzien.

Deze phishing-campagne was bedoeld om gebruikers naar een downloadknop op de phishing-site te leiden, wat resulteerde in de installatie van een achterdeur-trojan-programma, vooral wanneer dit werd gedetecteerd vanuit een Mac-computeromgeving. Dit type malware biedt aanvallers ongeoorloofde toegang tot het apparaat van het slachtoffer.

Soortgelijke tactieken worden toegepast in berichtentoepassingen

SlowMist waarschuwt ook voor soortgelijke tactieken die worden gebruikt in berichtenapps zoals Telegram, waarbij kwaadaardige links via chats worden verspreid. Hoewel deze applicaties bedoeld zijn om een ​​voorproefje van de website te geven, kunnen ze niet altijd 302-omleidingen blokkeren. Gebruikers die de weergegeven informatie vertrouwen en op dergelijke links klikken, kunnen uiteindelijk worden doorgestuurd naar een phishing-adres.

Het team dringt er bij de cryptogemeenschap op aan waakzaam te blijven en zich bewust te zijn van de geavanceerde methoden die oplichters gebruiken om persoonlijke en financiële informatie te stelen.