针对 Amazon Web Services (AWS) 登录的新网络钓鱼活动正在滥用 Google 广告,将网络钓鱼网站潜入 Google 搜索以窃取您的登录凭据。
该活动由 Sentinel Labs 发现,其分析师于 2023 年 1 月 30 日观察到恶意搜索结果。不良广告在搜索“aws”时排名第二,仅次于亚马逊自己推广的搜索结果。
最初,威胁行为者将广告直接链接到网络钓鱼页面。 但是,在稍后阶段,他们添加了一个重定向步骤,可能会逃避 Google 广告欺诈检测系统的检测。
恶意 Google 广告会将受害者带到攻击者控制下的博客网站(“us1-eat-a-w-s.blogspot[.]com”),该网站是合法素食博客的副本。
该网站使用“window.location.replace”自动将受害者重定向到一个新网站,该网站托管虚假的 AWS 登录页面,看起来很真实。
系统会提示受害者选择他们是根用户还是 IAM 用户,然后输入他们的电子邮件地址和密码。 此选项可帮助威胁行为者将被盗数据分为价值和实用两类。
Sentinel Labs 发现的网络钓鱼域是:
- aws1-console-login[.]us
- aws2-console-login[.]xyz
- aws1-ec2-console[.]com
- aws1-us-west[.]信息
网络钓鱼页面的一个有趣特征是其作者包含了一个 JavaScript 函数来禁用右键单击、鼠标中键或键盘快捷键。
Sentinel Labs 表示,这可能是一种防止用户有意或无意地离开页面的机制。
该安全公司报告说,在 JavaScript 代码注释和变量中发现葡萄牙语用作一种语言,而博客域的根页面模仿了巴西的甜点业务。 最后,用于注册域的 Whois 详细信息指向巴西人。
Sentinel Labs 向保护钓鱼网站的 CloudFlare 报告了滥用情况,这家互联网公司迅速关闭了该帐户。 但是,恶意 Google Ads 仍然存在,即使它们链接到的网站不再在线。
Google Ads 最近受到各种网络犯罪分子的大规模滥用,作为一种接触潜在受害者的替代方法。
这些广告最近被用于网络钓鱼密码管理器帐户,实现勒索软件部署的初始网络妥协,以及伪装合法软件工具的恶意软件分发。
上周,Sentinel Labs 发现了一个活动,该活动使用虚拟化技术和 Google Ads 来传播恶意软件,使其更难被防病毒工具检测到。
如若转载,请注明出处:https://www.ozabc.com/it/534709.html