Pushpaganda: kampania wykorzystująca Google Discover, AI i powiadomienia push do scareware oraz fraudów reklamowych

securitybeztabu.pl 4 godzin temu

Wprowadzenie do problemu / definicja

Pushpaganda to nazwa kampanii cyberoszustw i nadużyć reklamowych, w której przestępcy łączą spamerskie pozycjonowanie treści, materiały generowane przez sztuczną inteligencję oraz przeglądarkowe powiadomienia push. Celem operacji jest przejęcie ruchu z pozornie wiarygodnych źródeł, takich jak kanały rekomendacji treści, a następnie przekierowanie użytkownika do scareware, fałszywych ostrzeżeń i schematów wyłudzeń.

To zagrożenie pokazuje, iż współczesne kampanie nie muszą opierać się wyłącznie na klasycznym phishingu czy malware. Coraz częściej wykorzystują legalne funkcje przeglądarek i platform internetowych, aby budować wiarygodność oraz utrzymywać długotrwały kontakt z ofiarą.

W skrócie

Badacze bezpieczeństwa opisali Pushpagandę jako operację ad fraud opartą na zmanipulowanym ruchu organicznym pochodzącym z prawdziwych urządzeń mobilnych. Atakujący publikowali pseudoartykuły stylizowane na wiadomości, zwiększali ich widoczność w ekosystemie Google, a następnie kierowali odbiorców na kontrolowane domeny.

Po wejściu na stronę użytkownik był nakłaniany do włączenia powiadomień push. Od tego momentu przeglądarka stawała się kanałem dalszej socjotechniki, służącym do dostarczania alarmistycznych komunikatów, przekierowań oraz treści monetyzowanych reklamowo.

  • kampania wykorzystywała treści generowane przez AI,
  • nadużywała widoczności w kanałach rekomendacji treści,
  • opierała się na zgodach na web push,
  • łączyła scareware z fraudem reklamowym i wyłudzeniami.

Kontekst / historia

Nadużycia związane z powiadomieniami push są znane od lat, ponieważ stanowią tani i skuteczny sposób utrzymywania kontaktu z ofiarą bez potrzeby instalowania klasycznego złośliwego oprogramowania. Wcześniejsze kampanie zwykle skupiały się jednak na prostym spamie lub pojedynczych przekierowaniach.

W przypadku Pushpagandy nowością jest połączenie kilku elementów w jeden spójny łańcuch: masowej produkcji treści z pomocą AI, zatruwania wyników widoczności oraz późniejszej monetyzacji ruchu poprzez reklamy i oszustwa. Kampania miała charakter skalowalny i transgraniczny, obejmując wiele regionów oraz różne wersje językowe.

Według ujawnionych informacji operacja była początkowo obserwowana głównie w Indiach, ale z czasem rozszerzyła zasięg na kolejne rynki, w tym Stany Zjednoczone, Australię, Kanadę, Republikę Południowej Afryki i Wielką Brytanię.

Analiza techniczna

Techniczny przebieg kampanii można opisać jako wieloetapowy model nadużycia, którego celem było przejęcie uwagi użytkownika i przekształcenie jej w trwały kanał monetyzacji.

  • Przygotowanie infrastruktury: operatorzy utrzymywali sieć domen publikujących fałszywe materiały przypominające artykuły informacyjne.
  • Generowanie treści przez AI: automatyzacja umożliwiała szybkie tworzenie dużej liczby pseudoartykułów dopasowanych do trendów i tematów lokalnych.
  • SEO poisoning: treści były optymalizowane pod widoczność w wyszukiwaniu i kanałach rekomendacji, co zwiększało szanse na pozyskanie organicznego ruchu.
  • Socjotechnika na stronie: użytkownik był zachęcany do kliknięcia przycisku zgody na powiadomienia, często pod presją pilności lub rzekomego zagrożenia.
  • Utrwalenie dostępu: po udzieleniu zgody przeglądarka mogła wyświetlać kolejne komunikaty bez potrzeby ponownego wejścia na stronę.
  • Monetyzacja: kliknięcia w notyfikacje prowadziły do kolejnych serwisów generujących przychód reklamowy lub realizujących schematy wyłudzeń.

Istotnym elementem kampanii było wykorzystanie ruchu z realnych urządzeń mobilnych. Taki model może być trudniejszy do odfiltrowania niż klasyczny ruch botów, ponieważ wygląda bardziej naturalnie z perspektywy systemów reklamowych i analitycznych.

W szczytowym okresie operacja miała generować około 240 milionów żądań bid request w ciągu siedmiu dni i obejmować 113 domen, co pokazuje przemysłową skalę tego typu nadużycia.

Konsekwencje / ryzyko

Dla użytkownika końcowego największym zagrożeniem jest zamiana zaufanego środowiska konsumpcji treści w kanał dostarczania oszustw. Ofiara może uznać komunikaty za wiarygodne tylko dlatego, iż pierwszy kontakt nastąpił przez pozornie legalny artykuł lub mechanizm rekomendacji.

  • kontakt ze scareware i fałszywymi ostrzeżeniami bezpieczeństwa,
  • przekierowania do stron wyłudzających płatności lub dane,
  • zalewanie urządzenia spamem przez powiadomienia push,
  • większa podatność na kolejne etapy socjotechniki.

Ryzyko dotyczy także organizacji. jeżeli pracownik korzysta z urządzenia służbowego, może wejść w interakcję z fałszywymi komunikatami, zainicjować nieautoryzowane działania lub ujawnić dane. Dodatkowo ekosystem reklamowy ponosi straty wynikające ze sztucznego generowania ruchu i zafałszowania jakości odsłon.

Strategicznie szczególnie niepokojące jest wykorzystanie AI, która obniża koszt i próg wejścia dla podobnych operacji. Automatyzacja umożliwia szybsze testowanie wielu wariantów treści i dostosowywanie przynęt do konkretnych grup odbiorców.

Rekomendacje

Ograniczenie skuteczności kampanii takich jak Pushpaganda wymaga podejścia warstwowego, obejmującego zarówno konfigurację techniczną, jak i edukację użytkowników.

  • Ograniczanie uprawnień push: w środowiskach firmowych warto blokować lub ściśle kontrolować zgody na powiadomienia przeglądarkowe.
  • Szkolenia użytkowników: programy świadomości powinny obejmować nie tylko e-mail phishing, ale także fałszywe alerty w przeglądarce i ryzyka związane z kliknięciem „Zezwól”.
  • Monitorowanie telemetrii: należy analizować nietypowe przekierowania, nagłe zgody na powiadomienia oraz ruch do mało znanych domen.
  • Filtrowanie DNS i ochrona webowa: blokowanie domen o niskiej reputacji może zatrzymać kampanię jeszcze przed interakcją użytkownika ze stroną.
  • Polityki MDM i przeglądarek: zarządzanie urządzeniami mobilnymi powinno obejmować konfigurację przeglądarek i ograniczenia dla ryzykownych uprawnień.
  • Współpraca zespołów: bezpieczeństwo, fraud prevention i ad operations powinny wspólnie analizować anomalię ruchu oraz sygnały sztucznej monetyzacji.
  • Reakcja po incydencie: w przypadku aktywacji podejrzanych notyfikacji należy usunąć zgodę, wyczyścić dane witryny, przeanalizować historię przekierowań i sprawdzić urządzenie.

Podsumowanie

Pushpaganda jest przykładem nowoczesnej kampanii cyberoszustw, w której legalne funkcje platform internetowych zostały połączone z automatyzacją AI, spamerskim SEO i socjotechniką. Przestępcy nie muszą od razu infekować urządzenia, jeżeli potrafią przejąć uwagę użytkownika i skłonić go do udzielenia zgody na powiadomienia.

Dla obrońców oznacza to konieczność szerszego spojrzenia na zagrożenia. Ochrona nie może ograniczać się do wykrywania malware i phishingu, ale powinna obejmować także nadużycia rekomendacji treści, mechanizmów reklamowych oraz uprawnień przeglądarkowych.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/04/ai-driven-pushpaganda-scam-exploits.html
  2. Google Safety Center — Protection from Online Scams & Fraud — https://safety.google/intl/en_us/safety/scams-fraud/
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Pushpaganda: kampania wykorzystująca Google Discover, AI i powiadomienia push do scareware oraz fraudów reklamowych

Powiązane

Gwałtowny wzrost ataków brute force na urządzenia brzegowe w I kwartale 2026

Gwałtowny wzrost ataków brute force na urządzenia brzegowe w...

4 godzin temu
Fałszywy instalator Claude rozprzestrzenia PlugX przez DLL sideloading

Fałszywy instalator Claude rozprzestrzenia PlugX przez DLL s...

4 godzin temu
FCC podtrzymuje rozwój U.S. Cyber Trust Mark po zmianie administratora programu

FCC podtrzymuje rozwój U.S. Cyber Trust Mark po zmianie admi...

4 godzin temu
Triad Nexus omija sankcje i odbudowuje infrastrukturę cyberprzestępczą

Triad Nexus omija sankcje i odbudowuje infrastrukturę cyberp...

4 godzin temu
JanelaRAT atakuje bankowość w Ameryce Łacińskiej: trojan finansowy wchodzi na nowy poziom kontroli ofiary

JanelaRAT atakuje bankowość w Ameryce Łacińskiej: trojan fin...

4 godzin temu
Mirax na Androidzie: mobilny RAT zamienia telefony w proxy SOCKS5

Mirax na Androidzie: mobilny RAT zamienia telefony w proxy S...

4 godzin temu
McGraw-Hill potwierdza naruszenie danych po groźbach wymuszenia

McGraw-Hill potwierdza naruszenie danych po groźbach wymusze...

4 godzin temu
Windows 11 przestanie zmuszać do czekania. Pominiemy uciążliwy krok

Windows 11 przestanie zmuszać do czekania. Pominiemy uciążli...

9 godzin temu

Polecane

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze strony Viktora Orbána! | RFU News

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze...

5 dni temu
SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

6 dni temu
Stan podwyższonej gotowości w największej elektrowni w Polsce. Rewolucyjny pomysł eksperta

Stan podwyższonej gotowości w największej elektrowni w Polsc...

6 dni temu
Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wykryły ładunek wybuch…

Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wy...

1 tydzień temu
Cztery granaty w Polance Wielkiej! Policja przez dobę strzegła, saperzy z Krakowa zabrali

Cztery granaty w Polance Wielkiej! Policja przez dobę strzeg...

2 tygodni temu
Policjanci i psy szkoleni w wykrywaniu narkotyków i materiałów wybuchowych

Policjanci i psy szkoleni w wykrywaniu narkotyków i materiał...

2 tygodni temu
Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współczesnych zagrożeń? Pytania i odpowiedzi ekspertów

Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współcze...

3 tygodni temu
Stopnie alarmowe w województwie łódzkim. Służby w gotowości

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

3 tygodni temu
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie

Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mog...

3 tygodni temu