Pesquisadores de cibersegurança alertaram sobre uma nova campanha de malvertising direcionada a usuários e empresas que utilizam o Google Ads. Os criminosos buscam roubar credenciais e códigos de autenticação de dois fatores (2FA) por meio de anúncios fraudulentos exibidos na própria plataforma de pesquisa do Google. Segundo Jérôme Segura, diretor sênior de inteligência de ameaças da Malwarebytes, os atacantes sequestram contas de anunciantes ao se passar pelo Google Ads e redirecionam as vítimas para páginas de login falsas.

O objetivo dos criminosos é utilizar as credenciais roubadas para continuar executando campanhas fraudulentas e vendê-las em fóruns clandestinos. Postagens em plataformas como Reddit, Bluesky e nos fóruns de suporte do Google indicam que a atividade maliciosa está ativa desde meados de novembro de 2024. Essa campanha lembra ataques anteriores em que malwares roubavam dados de contas de publicidade do Facebook para sequestrá-las e realizar campanhas de malvertising, que posteriormente propagavam mais malware.

Na nova campanha, os alvos são usuários que pesquisam “Google Ads” no próprio motor de busca do Google. Anúncios fraudulentos aparecem nos resultados e redirecionam as vítimas para sites falsos hospedados no Google Sites. Esses sites conduzem os visitantes a páginas externas de phishing, criadas para capturar credenciais e códigos 2FA via WebSocket e enviar os dados para servidores sob controle dos atacantes. A campanha emprega técnicas avançadas, como fingerprinting, detecção de tráfego anti-bot, captchas falsos, disfarce (cloaking) e ofuscação, para esconder a infraestrutura de phishing.