Kampanye phishing baru yang menargetkan login Amazon Web Services (AWS) menyalahgunakan iklan Google untuk menyelundupkan situs phishing ke Google Penelusuran untuk mencuri kredensial login Anda.
Kampanye ditemukan oleh Laboratorium Sentinelyang analisnya mengamati hasil pencarian jahat pada 30 Januari 2023. Iklan buruk itu menduduki peringkat kedua saat mencari “aws”, tepat di belakang hasil pencarian yang dipromosikan Amazon sendiri.
Awalnya, pelaku ancaman menautkan iklan langsung ke halaman phishing. Namun, pada fase selanjutnya, mereka menambahkan langkah pengalihan, kemungkinan untuk menghindari deteksi oleh sistem deteksi penipuan iklan Google.
Iklan Google jahat membawa korban ke situs web blogger (“us1-eat-aws.blogspot[.]com”) di bawah kendali penyerang, yang merupakan salinan dari blog makanan vegan yang sah.
Situs tersebut menggunakan ‘window.location.replace’ untuk secara otomatis mengarahkan korban ke situs web baru yang menghosting halaman login AWS palsu, dibuat agar terlihat asli.
Korban diminta untuk memilih apakah mereka adalah pengguna root atau IAM dan kemudian memasukkan alamat email dan kata sandi mereka. Opsi ini membantu pelaku ancaman mengkategorikan data yang dicuri menjadi dua kategori nilai dan utilitas.
Domain phishing yang dilihat oleh Sentinel Labs adalah:
- aws1-console-login[.]kita
- aws2-console-login[.]xyz
- aws1-ec2-console[.]com
- aws1-us-barat[.]info
Fitur menarik dari halaman phishing adalah pembuatnya menyertakan fungsi JavaScript untuk menonaktifkan klik kanan, tombol tengah mouse, atau pintasan keyboard.
Sentinel Labs mengatakan ini kemungkinan merupakan mekanisme untuk mencegah pengguna keluar dari halaman, baik sengaja atau tidak sengaja.
Perusahaan keamanan tersebut melaporkan bahwa bahasa Portugis digunakan sebagai bahasa dalam komentar dan variabel kode JavaScript, sementara halaman akar domain blogger meniru bisnis makanan penutup di Brasil. Terakhir, detail Whois yang digunakan untuk mendaftarkan domain mengarah ke orang Brasil.
Sentinel Labs melaporkan penyalahgunaan ke CloudFlare, yang melindungi situs phishing, dan perusahaan internet dengan cepat menutup akun tersebut. Namun, Google Ads jahat tetap ada, meskipun situs yang mereka tautkan tidak lagi online.
Iklan Google telah disalahgunakan secara besar-besaran dari semua jenis penjahat dunia maya akhir-akhir ini, berfungsi sebagai metode alternatif untuk menjangkau calon korban.
Iklan ini telah digunakan akhir-akhir ini untuk akun pengelola kata sandi phishingberprestasi kompromi jaringan awal untuk penyebaran ransomware, dan distribusi malware menyamar perangkat lunak yang sah.
Minggu lalu, Sentinel Labs menemukan kampanye yang menggunakan teknologi virtualisasi bersama dengan Google Ads untuk menyebarkan malware yang membuatnya lebih sulit dideteksi oleh alat antivirus.
