Cyber-Sicherheitsteam entdeckt neue fortschrittliche Phishing-Strategie über Google-Anzeigen

Das Cyber-Sicherheitsteam SlowMist hat in Zusammenarbeit mit dem Rabby Wallet-Team, dessen Produkt kürzlich Ziel eines Phishing-Angriffs war, eine raffinierte Strategie aufgedeckt, bei der Betrüger Google-Anzeigen verwenden, um Benutzer zu täuschen. In diesem neuen Ansatz werden Benutzer auf bösartige Websites geführt, mit dem Risiko, ein Trojanisches Pferd herunterzuladen.

Nutzung von Googles Firebase-Kurzlinkdienst

SlowMist berichtet, dass die Betrüger den Firebase-Kurzlinkdienst von Google für 302-Umleitungen nutzen, eine Methode, um Googles Anzeigemechanismus zu umgehen. Durch Eingabe spezifischer Suchbegriffe werden Benutzer mit Suchergebnissen konfrontiert, in denen die obersten Positionen von betrügerischen Anzeigen eingenommen werden, die auf den ersten Blick auf die offizielle Rabby Wallet-Website verweisen zu scheinen. Das Cyber-Sicherheitsteam entdeckte jedoch, dass Benutzer nach dem Klicken auf diese Anzeigen und dem Ändern von Proxys zu verschiedenen Regionen tatsächlich auf eine Phishing-Website umgeleitet wurden. Diese Adressen wurden kontinuierlich aktualisiert und geändert, abhängig von der Region des Benutzers und dem verwendeten Browsertyp.

Der Prozess nutzt eine Schwachstelle in Googles System aus, das nicht in Echtzeit überprüft, ob Umleitungslinks geändert wurden. Die Betrüger beginnen mit dem Einrichten von Werbekampagnen, die auf Website-Traffic abzielen, umgehen den strengen Zertifizierungsprozess von Google und verwenden Googles eigenen Firebase-Kurzlinkdienst, um legitime aussehende Umleitungslinks zu erstellen.

Das Ziel dieser Phishing-Kampagne war es, Benutzer zu einem Download-Button auf der Phishing-Website zu führen, was zur Installation eines Trojanischen Hinterprogramms führte, insbesondere bei Erkennung einer Mac-Computernutzerumgebung. Diese Art von Malware bietet Angreifern unbefugten Zugang zum Gerät des Opfers.

Ähnliche Taktiken in Messaging-Apps angewendet

SlowMist warnt auch vor ähnlichen Taktiken, die in Messaging-Apps wie Telegram verwendet werden, bei denen bösartige Links über Chats verbreitet werden. Obwohl diese Apps dazu bestimmt sind, eine Vorschau der Website basierend auf abgerufenen Informationen über den Link anzuzeigen, einschließlich der Titel, des Domains und des Icons, können nicht alle diese Softwareprodukte 302-Umleitungen blockieren. Wenn Benutzer sich ausschließlich auf die angezeigten Informationen verlassen und auf solche Links klicken, könnten sie letztendlich auf eine Phishing-Adresse umgeleitet werden.

Das Team appelliert an die Krypto-Community, wachsam zu bleiben und sich der fortschrittlichen Methoden bewusst zu sein, die Betrüger verwenden, um persönliche und finanzielle Informationen zu stehlen.