Una nueva campaña de phishing está dirigida a profesionales de SEO a través de anuncios maliciosos de Semrush en Google Ads que tienen como objetivo robar las credenciales de sus cuentas de Google.
Los investigadores de Malwarebytes, Jerome Segura y Elie Berreby, creen que el atacante está apuntando a cuentas de Google Ads, lo que les permitiría crear nuevas campañas de malvertising.
Fraude en cascada: un enfoque más indirecto
Este tipo de fraude en cascada ha ganado popularidad recientemente. Malwarebytes descubrió en enero una operación similar en la que anuncios falsos de Google alojados en Google Sites apuntaban a cuentas de Google Ads.
Los criminales detrás de esta nueva campaña han cambiado a un enfoque más indirecto pero igual de efectivo, utilizando la marca Semrush, una plataforma popular de software como servicio (SaaS) utilizada en SEO, publicidad en línea, marketing de contenidos e investigación competitiva.
Objetivo: cuentas de Google y datos sensibles
Semrush es ampliamente utilizada por digital marketers, anunciantes, comerciantes electrónicos y empresas grandes, incluyendo el 40% de las empresas Fortune 500.
Como Semrush se integra con Google Analytics y Google Search Console, los clientes a menudo vinculan cuentas de Google valiosas que contienen datos sensibles de negocios, como métricas de ingresos, estrategias de marketing y comportamiento de clientes, todos objetivos atractivos para los ciberdelincuentes.
Detalles de la campaña maliciosa
En esta campaña, los cibercriminales usan Google Ads para promover resultados falsos de Semrush cuando los usuarios buscan términos relacionados.
Al hacer clic en el anuncio, los usuarios son redirigidos a una página de phishing que imita la interfaz de Semrush, pero con un dominio diferente al oficial (semrush.com).
Algunos de los dominios maliciosos utilizados son:
- semrush[.]click
- semrush[.]tech
- auth.seem-rush[.]com
- semrush-pro[.]co
- sem-rushh[.]com
Algunos de estos dominios aún permanecen en línea, pero no todos cargan la página de phishing, lo que sugiere que los atacantes filtran sus objetivos según la ubicación geográfica u otros criterios.
La página de inicio falsa
La página de inicio falsa imita la interfaz de Semrush, pero no ofrece las opciones de inicio de sesión estándar. En su lugar, obliga a los visitantes a iniciar sesión solo con la opción “Iniciar sesión con Google”.
Cuando los usuarios ingresan sus credenciales de Google, la información es enviada directamente a los atacantes.
Dado que muchas cuentas de Semrush están integradas con Google Analytics y Google Search Console, los atacantes podrían obtener acceso a datos empresariales sensibles sin comprometer directamente Semrush.
Acceso a información sensible post-compromiso
Una vez que se comprometen las credenciales de Google, los atacantes pueden exfiltrar datos como métricas de ingresos, estrategias de marketing y comportamiento del cliente, todo sin afectar directamente a Semrush.
Falta de acción decisiva de Google
Elie Berreby, estratega de SEO, destacó que se necesitan decisiones de alto nivel dentro de Google para abordar este problema, ya que las personas con las que habla no pueden resolver los problemas subyacentes.
A pesar de esto, Berreby elogió la respuesta rápida de Google para eliminar los anuncios maliciosos relacionados con esta campaña.
¿Cómo evitar caer en estafas de Google Ads?
- Evita hacer clic en resultados promocionados o patrocinados.
- Marca las páginas que visitas frecuentemente para acceder a ellas directamente.
- Verifica siempre que estés en el dominio oficial antes de iniciar sesión.
- Utiliza un gestor de contraseñas para llenar las cajas de inicio de sesión, ya que los datos se completarán solo en los dominios para los que las credenciales fueron guardadas.
La campaña demuestra una vez más lo crucial que es estar atento a posibles fraudes y mantener prácticas seguras al navegar en línea.