BleepingComputer披露了一项新的网络犯罪活动,该活动在谷歌搜索结果中隐藏钓鱼网站,以窃取亚马逊网络服务(AWS)用户的登录凭据。2023年1月30日,SentinelLabs的安全分析师首次发现了隐藏在GoogleAds搜索结果中的网络钓鱼活动。据悉,在搜索“aws”时,不良广告排名第二,仅次于亚马逊自己对搜索结果的推广。恶意谷歌搜索结果(SentinelOne)经过研究分析,安全人员发现攻击者最初将广告直接链接到钓鱼页面,并陆续加入重定向步骤,以逃避谷歌广告欺诈检测系统的监管。完整的网络钓鱼链(SentinelOne)“恶意谷歌广告”首先将受害者引导至攻击者控制的博客站点(“us1-eat-a-w.s.blogspot[.]com”:该站点是一个合法的素食博客),使用“window.location.replace”自动将受害者重定向到托管虚假AWS登录页面的新网站。重定向代码(SentinelOne)当用户走到这一步时,钓鱼网站系统会自动提示受害者选择是用root用户还是IAM用户登录。一旦用户输入邮箱地址和密码,信息就会被窃取。(提示用户选择登录方式,帮助攻击者区分被盗数据的价值和用途)AWS钓鱼页面(哨兵一号)钓鱼第二步,索要用户密码(哨兵一号)哨兵实验室发现的网络钓鱼域名主要包括:aws1-console-login[.]usaws2-console-login[.]xyzaws1-ec2-console[.]comaws1-us-west[.]info在分析过程中,研究人员发现这些钓鱼网页有一个有趣的特征。他们的创建者设置了一个JavaScript函数,可以禁用鼠标右键、鼠标中键或键盘快捷键。SentinelLab指出,禁用快捷方式的原因可能是为了防止用户有意或无意地留下钓鱼页面。禁用鼠标右键单击(SentinelOne)此外,Sentinel报告说JavaScript代码注释和变量使用了葡萄牙语,而素食博客域的根页面模仿巴西甜点公司进行注册该域的Whois详细信息指向一个巴西人。值得一提的是,最近谷歌广告被各种网络犯罪分子大量滥用为“寻找”潜在受害者的一种方式。据不完全统计,谷歌广告被用来钓鱼密码管理器账户,实现初始网络妥协以部署勒索软件,并传播伪装成合法软件工具的恶意软件。
