Plataforma criminosa 1Campaign facilita fraudes em anúncios do Google há três anos
Pesquisadores de segurança da Varonis descobriram uma plataforma criminosa, batizada de "1Campaign", que fornece ferramentas sofisticadas para que grupos de hackers lancem e gerenciem campanhas de anúncios maliciosos no Google Ads. O serviço, que opera há pelo menos três anos, é comercializado entre criminosos e permite que eles contornem sistemas de detecção para exibir anúncios de phishing para públicos-alvo específicos, enquanto os provedores de anúncios veem apenas páginas em branco.
Operação e ferramentas de evasão
A plataforma funciona como um "disfarce" avançado. Quando um usuário clica em um anúncio malicioso, o sistema do 1Campaign realiza uma análise em tempo real do visitante. Se o perfil corresponder ao de uma vítima potencial, ele é redirecionado para uma página de phishing. No entanto, se o sistema identificar o visitante como um provedor de anúncios, um auditor ou um sistema automatizado de verificação, ele exibe uma página em branco ou conteúdo legítimo. Essa técnica permite que as campanhas fraudulentas permaneçam ativas por longos períodos antes de serem sinalizadas e removidas.
Além do mecanismo de camuflagem, a plataforma oferece um conjunto robusto de ferramentas para os operadores criminosos:
- Análise e pontuação de visitantes: Cada visitante recebe uma pontuação de 0 a 100, indicando a probabilidade de ser um alvo válido ou um sistema de detecção.
- Direcionamento granular: Os criminosos podem configurar campanhas direcionadas a países específicos e tipos de dispositivos.
- Clonagem de marcas: A plataforma permite a criação de campanhas tanto fraudulentas quanto legítimas, facilitando a clonagem de qualquer marca para fins de phishing.
- Bloqueio de tráfego indesejado: Ferramentas para bloquear o tráfego proveniente de fornecedores de segurança conhecidos.
Alcance geográfico e implicações
De acordo com a análise da Varonis, os anúncios maliciosos distribuídos via 1Campaign têm maior concentração em países como Estados Unidos, Holanda, Canadá, China, Alemanha, França, Hungria, Albânia e Japão. A capacidade de direcionar campanhas por endereço IP torna a ferramenta particularmente perigosa para ataques contra organizações específicas ou setores verticais.
O surgimento de uma plataforma como essa profissionaliza e escala a ameaça do malvertising. Ela reduz a barreira de entrada para criminosos menos técnicos, fornecendo uma infraestrutura "as a service" para golpes de phishing de alta eficácia. Para as equipes de segurança, a descoberta reforça a necessidade de ir além da simples análise de URLs em anúncios e considerar o comportamento de redirecionamento e a detecção de fingerprinting do cliente.
Recomendações para defesa
Organizações devem reforçar a conscientização de usuários sobre os riscos de clicar em anúncios, mesmo em plataformas reputáveis. Do ponto de vista técnico, o bloqueio proativo de domínios e endereços IP associados a essas plataformas de fraude, quando identificados, é crucial. Além disso, o monitoramento de tráfego de saída para domínios desconhecidos que realizam fingerprinting de clientes pode ajudar a identificar infecções em estágio inicial.