Cyberbeveiligingsteam ontdekt nieuwe geavanceerde phishing-strategie via Google-advertenties

Het cyberbeveiligingsteam SlowMist heeft in samenwerking met het Rabby Wallet-team, wiens product recentelijk het doelwit was van een phishing-aanval, een geraffineerde strategie blootgelegd waarbij oplichters Google-advertenties gebruiken om gebruikers te misleiden. In deze nieuwe aanpak worden de gebruikers naar kwaadaardige websites geleid, met het risico op het downloaden van een Trojaans paard.

Gebruik gemaakt van Google’s Firebase-shortlinkservice

SlowMist rapporteert dat de oplichters gebruikmaken van Google’s Firebase-shortlinkservice voor 302-omleidingen, een methode om Google’s weergavemechanisme om de tuin te leiden. Door specifieke zoekwoorden in te voeren, worden gebruikers geconfronteerd met zoekresultaten waarin de bovenste posities worden ingenomen door de frauduleuze advertenties, die op het eerste gezicht lijken door te verwijzen naar de officiële Rabby Wallet-website. Het cyberbeveiligingsteam ontdekte echter dat na het klikken op deze advertenties, en het wijzigen van proxy’s naar verschillende regio’s, gebruikers in werkelijkheid werden omgeleid naar een phishing-site. Deze adressen werden voortdurend bijgewerkt en veranderd, afhankelijk van de regio van de gebruiker en het gebruikte browsertype.

Het proces maakt misbruik van een kwetsbaarheid in Google’s systeem, dat niet realtime controleert of omleidingslinks zijn gewijzigd. De oplichters beginnen met het opzetten van advertentiecampagnes gericht op websiteverkeer, omzeilen het strenge certificeringsproces van Google, en gebruiken Google’s eigen Firebase-kortelinkservice om legitiem ogende omleidingslinks te creëren.

Deze phishing-campagne had als doel gebruikers naar een downloadknop te leiden op de phishing-site, wat resulteerde in de installatie van een Trojaans achterdeurprogramma, vooral bij detectie van een Mac-computeromgeving. Dit type malware biedt aanvallers ongeautoriseerde toegang tot het apparaat van het slachtoffer.

Soortgelijke tactieken toegepast in berichtenapps

SlowMist waarschuwt ook voor soortgelijke tactieken die worden gebruikt in berichtenapps zoals Telegram, waarbij kwaadaardige links via chats worden verspreid. Ondanks dat deze apps bedoeld zijn om een voorbeeld van de website weer te geven, kunnen ze niet altijd 302-omleidingen blokkeren. Gebruikers die vertrouwen op de weergegeven informatie en op dergelijke links klikken, kunnen uiteindelijk worden omgeleid naar een phishing-adres.

Het team dringt er bij de cryptogemeenschap op aan waakzaam te blijven en zich bewust te zijn van de geavanceerde methoden die oplichters gebruiken om persoonlijke en financiële informatie te stelen.