更多全球网络安全资讯尽在邑安全
网络钓鱼新手段:虚假Semrush广告窃取Google账户凭证 数字营销及SEO从业者面临高危风险
网络安全研究人员发现,网络犯罪分子近期在Google搜索结果中大量投放伪装成正规Semrush广告的恶意链接,利用该SEO工具在行业内日益增长的知名度,诱骗数字营销从业者和搜索引擎优化专家点击,进而窃取其Google账户登录凭证。
恶意广告
此类欺诈广告会将用户引导至高度仿真的Semrush虚假登录页面,要求用户使用谷歌账户进行身份验证;
该攻击模式反映出钓鱼攻击策略的显著升级——精准锁定使用SEO及营销平台的专业人士,攻击者一旦得手即可获取极具商业价值的分析数据与竞对情报;
受害者点击欺诈广告后,其访问流量将经过多级域名跳转,最终抵达恶意页面。该页面高度模仿Semrush官方登录界面,具有极强的迷惑性。
虚假登录页面
网络犯罪分子精心仿制了Semrush登录界面,不仅精准复刻品牌标识格式与页面布局,还设置了极具迷惑性的交互提示,营造出虚假的"安全认证"场景。
经Malwarebytes安全团队溯源分析,此次攻击与今年早些时候利用Google Sites平台窃取Google Ads账户的恶意活动存在基础设施关联,疑似同一黑客组织所为。
"攻击者很可能重组团队并转向更迂回的战术,这种看似降低攻击烈度的策略实则能带来同等破坏力。" 安全分析师Jérôme Segura在基础设施分析报告中指出,"通过利用SEO从业者对权威工具的信赖,恶意广告的点击转化率呈现指数级提升。"
虚假的 Google 帐户身份验证页面
安全研究人员发现,尽管该钓鱼页面同时显示常规登录选项与"使用Google账户登录"按钮,但仅有Google认证通道实际处于激活状态。
攻击者构建了规模庞大的恶意域名矩阵,所有域名均采用与Semrush品牌高度近似的命名策略,包括:
semrush.tech、semrush-pro.click、ads-semrush.com、semrush.works
技术架构解析
攻击链条采用精密的多级跳转机制:
-
受害者点击恶意广告后,首先被导向主控域名(如semrush.works/?gad_source=1&gclid=...),该域名在返回HTTP 200状态码后立即实施二次跳转;
-
第二跳域名(如sem-rushhh.com)承载静态化部署的钓鱼页面,此类域名与主控域名形成动态映射关系;
-
每个广告对应独立的主控域名,通过"一对多"方式关联下游钓鱼域名,极大增加了安全团队的追踪与封禁难度。
重定向到辅助网络钓鱼域
技术细节披露
次级域名(如sem-rushhh.com)上部署的仿冒登录页面高度还原Semrush品牌视觉元素,页面显著位置设有Google认证入口;
当用户输入凭证后,钓鱼表单会实时将数据传至攻击者控制的服务器,同时向受害者展示极具迷惑性的错误提示或跳转至合法页面,以维持骗局可信度。
这种精密设计的欺诈链路表明,针对企业核心平台与关键凭证的网络钓鱼攻击正朝着高度专业化、流程化方向演进。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/hackers-using-fake-semrush-ads/
原文始发于微信公众号(邑安全):黑客使用虚假的 Semrush 广告窃取 Google 帐户登录凭据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论