1Campaign позволява на групи да стартират злонамерени реклами в Google Ads, които остават активни за дълги периоди, без да бъдат засечени от автоматичните механизми за сигурност или от изследователи.

Според анализ на компанията за сигурност на данните Varonis, 1Campaign функционира като усъвършенстван cloaking механизъм, който успешно преминава проверките на Google и показва злонамерено съдържание само на реални потенциални жертви. Всички останали посетители – включително автоматизирани скенери и специалисти по сигурност – получават напълно безобидни „white pages“.

Операцията е активна поне от три години и се управлява от разработчик, използващ псевдонима DuppyMeister.

Как системата заобикаля контрола на Google

Изследователите от Varonis подчертават, че инструментът преминава автоматичния скрининг на Google, филтрира трафика от анализатори и задържа фишинг страници и крипто-дрейнъри онлайн възможно най-дълго, като насочва само реални потребители към инфраструктурата на атакуващите.

Платформата предлага удобно уеб табло, чрез което операторите могат да управляват кампаниите си и да задават детайлни параметри за филтриране на трафика.

Прецизно таргетиране и агресивно филтриране

1Campaign анализира посетителите в реално време и ги насочва към различни страници въз основа на географско местоположение, интернет доставчик (ISP) и характеристики на устройството.

Този подход позволява на атакуващите да се фокусират върху региони, в които конкретната измама е релевантна, като същевременно елиминират трафика от държави и мрежи, асоциирани с по-високо ниво на мониторинг.

В един наблюдаван от Varonis случай, 99,4% от 1 676 посетители са били блокирани, което означава, че само 0,6% (около 10 души) са достигнали до злонамереното съдържание.

Оценка на риска и блокиране на анализатори

Системата присвоява на всеки посетител fraud риск оценка между 0 и 100, изчислена на базата на инфраструктурни показатели като използване на облачни доставчици, центрове за данни, VPN услуги и принадлежност към компании за сигурност.

Посетители, идващи от мрежи на Microsoft, Google, Tencent Cloud, OVH и други облачни доставчици, автоматично получават високoрисков профил и биват блокирани.

Освен това, системата разпознава поведенчески модели, характерни за автоматизирани скенери, и ги елиминира още при първоначалния достъп.

Глобално разпространение на кампаниите

Varonis е засекла трафик, свързан с 1Campaign, в Съединените щати, Канада, Нидерландия, Китай, Германия, Франция, Япония, Унгария и в Балканските страни, което показва широк международен обхват на операциите.

Инструменти за злоупотреба с Google Ads

Платформата предлага и специализиран Google Ads launcher, който помага на операторите да стартират както злонамерени, така и привидно легитимни кампании. Според разработчика, този инструмент позволява заобикаляне на рекламните политики и имитиране на реални брандове в рекламите.

Въпреки че Google е внедрила множество защитни механизми, рекламната платформа продължава да бъде използвана за измами, зловреден софтуер и крипто-дрейнъри. 1Campaign се отличава с това, че е създадена целенасочено да издържа на автоматични проверки и да остава активна, докато не бъде докладвана ръчно от жертви.

Препоръки

Подобни cloaking системи правят статичното URL сканиране все по-неефективно. Според Varonis, по-реалистични браузърни отпечатъци и поведение, наподобяващо човешко взаимодействие, биха подобрили откриването.

За автоматизиран анализ се препоръчва ротация на IP адреси и user-agent конфигурации, за да се избегне устойчиво разпознаване.

От гледна точка на крайните потребители, препоръките остават ясни:

• избягване на промотирани резултати в търсачките;

• запазване на официални сайтове в bookmarks;

• внимателна проверка на URL адреса, преди въвеждане на идентификационни или чувствителни данни.