Uma nova campanha de phishing direcionada aos logins da Amazon Web Services (AWS) está abusando dos anúncios do Google para inserir sites de phishing na Pesquisa do Google para roubar suas credenciais de login.

Inicialmente, os agentes de ameaças vincularam o anúncio diretamente à página de phishing. No entanto, em uma fase posterior, eles adicionaram uma etapa de redirecionamento, provavelmente para evitar a detecção pelos sistemas de detecção de fraude de anúncios do Google.

O site usa ‘window.location.replace’ para redirecionar automaticamente a vítima para um novo site que hospeda a falsa página de login da AWS, feita para parecer autêntica.

A vítima é solicitada a selecionar se é um usuário root ou IAM e, em seguida, inserir seu endereço de e-mail e senha. Essa opção ajuda os agentes de ameaças a categorizar os dados roubados em duas categorias de valor e utilidade.

Ultimamente, os anúncios do Google têm sofrido abuso maciço de cibercriminosos de todos os tipos, servindo como um método alternativo para alcançar vítimas em potencial.