Criminelen maken gebruik van malafide Google-advertenties om Google Ads-accounts te kapen, zo laat antivirusbedrijf Malwarebytes in een analyse weten. Google Ads is het advertentieplatform van Google waarmee adverteerders hun online advertenties via de zoekmachine van Google, websites, video's en apps kunnen beheren.

Voor het uitvoeren van de phishingaanval maken de criminelen gebruik van advertenties die bij de zoekopdracht 'google ads' verschijnen. Google zal de advertentie bovenaan de zoekresultaten plaatsen. De malafide advertentie doet zich voor als de officiële Google Ads-pagina. De advertentie linkt naar een bij Google Sites gehoste pagina die slachtoffers naar de uiteindelijke phishingpagina doorstuurt. Deze phishingpagina vraagt slachtoffers om met hun Google Ads-account in te loggen.

De op de phishingsite ingevoerde inloggegevens worden vervolgens doorgestuurd naar de aanvallers, die ze gebruiken voor het toevoegen van een malafide admin-account. Hierna kan de aanvaller op kosten van het slachtoffer allerlei advertenties plaatsen die weer naar andere scams en malware wijzen. Doordat de aanvallers het domein bij sites.google.com hosten kunnen ze in de advertentie doen alsof de link van de advertentie naar ads.google.com wijst. Google staat dit toe omdat sites.google.com en ads.google.com hetzelfde hoofddomein hebben.