หน้าเว็ปไซต์ Phishing ของ AWS ยิงโฆษณาบน Google เพื่อให้ติดอันดับในการ Search

แคมเปญ phishing รูปแบบใหม่ที่มุ่งเป้าหมายไปหน้า login ของ Amazon Web Services (AWS) โดยการใช้ Google ads เพื่อดันหน้าเว็บไซต์ phishing ขึ้นมาติดอันดับใน Google Search เพื่อขโมยข้อมูลการ login ของเหยื่อที่ไม่ระมัดระวัง

ในช่วงแรกผู้โจมตีจะใช้วิธี link โฆษณาไปยังหน้าเพจ phishing โดยตรง แต่ในภายหลังได้ใช้วิธีการเปลี่ยนเส้นทางไปยังหน้าเพจ phishing แทน เพื่อหลีกเลี่ยงการตรวจจับโดยระบบตรวจจับ fraud ของ Google ads

โดยเมื่อคลิกลิงค์บน Google ads จะถูกนำไปยังเว็บไซต์ blogger (“us1-eat-aws.blogspot[.]com”) ที่ควบคุมโดยผู้โจมตี

เว็บไซต์นี้ใช้ 'window.location.replace' เพื่อเปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์ใหม่ที่เป็นหน้า login ของ AWS ปลอมโดยอัตโนมัติ

ระบบจะแจ้งให้เหยื่อเลือกว่าเป็น Root หรือ IAM จากนั้นจะให้ป้อนที่อยู่อีเมล และรหัสผ่าน โดยตัวเลือกนี้จะช่วยให้ผู้โจมตีสามารถจัดประเภทข้อมูลที่ขโมยออกมาได้เป็นสองประเภท

Domain phishing ที่พบโดย Sentinel Labs ดังนี้

  • aws1-console-login[.]us
  • aws2-console-login[.]xyz
  • aws1-ec2-console[.]com
  • aws1-us-west[.]info
    Feature ที่น่าสนใจของหน้าเว็บไซต์ phishing คือฟังก์ชัน JavaScript เพื่อปิดการใช้งานการคลิกขวา ปุ่มกลางของเมาส์ หรือแป้นพิมพ์ลัด

Google Ads กำลังตกอยู่ภายใต้การละเมิดอย่างหนักจากอาชญากรไซเบอร์ทุกประเภท ซึ่งถูกใช้เป็นอีกวิธีหนึ่งในการหลอกลวงเหยื่อ

โฆษณาเหล่านี้ถูกนำมาใช้สำหรับการแพร่กระจาย ransomware และมัลแวร์ที่ปลอมแปลงเป็นซอฟต์แวร์ที่ถูกกฎหมาย

โดยเมื่อสัปดาห์ที่ผ่านมา Sentinel Labs พึ่งค้นพบแคมเปญที่ใช้เทคโนโลยี virtualization ร่วมกับ Google Ads เพื่อแพร่กระจายมัลแวร์ที่ทำให้เครื่องมือป้องกันไวรัสตรวจจับได้ยากขึ้น

 

ที่มา : bleepingcomputer