Timeline: When the Campaign Started
The phishing campaign was first documented by BleepingComputer in early March 2026, though security researchers suggest the operation may have been running undetected for weeks prior. The attackers had already compromised an unknown number of victims before the discovery. That matters because every day the campaign stays active, more people fall for it.
And the sophistication level? It's alarming.
The Discovery
Security researchers uncovered the attack while investigating reports of credential theft targeting Google Account users. What initially looked like a standard phishing page revealed something far more dangerous on closer inspection. The attackers weren't just harvesting login information—they'd built a full-featured malware delivery system disguised as a legitimate security check.
The fake Google Account security page itself was convincing. It mimicked Google's actual interface well enough that most users wouldn't catch the deception in a moment of panic. But here's where it gets nasty: the page prompted victims to install what appeared to be a security app. In reality, it was a progressive web app (PWA) with capabilities well beyond what a typical PWA should possess.
Is PWA safe? That's the question this attack forces us to ask. Progressive web apps live in a murky space—they're apps but not apps, websites but not websites. The technology itself isn't inherently dangerous, but it's revealing serious blind spots in how users and even organizations understand security boundaries.
Technical Analysis
Once installed, the PWA became a complete remote access tool. It harvested login credentials. It captured multi-factor authentication codes in real time—defeating the very security measure that's supposed to prevent unauthorized account access. The real question is: if MFA authentication issues allow codes to be intercepted this easily, how many other attack vectors are we missing?
But it didn't stop there.
The malware also scraped cryptocurrency wallet addresses and recovery phrases. It monitored clipboard content. Most troubling: it converted victims' browsers into proxy servers, allowing the attackers to conduct their own web traffic through compromised machines. That's six months of potential reconnaissance or lateral movement attacks without the victim ever knowing.
The lack of MFA vulnerability here isn't a flaw in the MFA system itself—it's that the attacker got upstream of it. They captured the code before the user could input it. This highlights why can MFA be hacked remains a legitimate question in security circles. It can't be, in isolation. But combined with credential theft, it becomes useless.
Damage Assessment
BleepingComputer hasn't published confirmed victim numbers, but the fact that the campaign remained active long enough to be discovered suggests the infection rate was significant enough to warrant research attention. We're talking potentially hundreds of compromised accounts.
The exposure extends beyond Google accounts themselves. Cryptocurrency holdings are at direct risk. Corporate networks are at risk if any victims used work email addresses. And those victims' browsers? They're now compromised surveillance tools.
The scope of potential damage depends entirely on victim profile. A regular user loses cryptocurrency and money. An employee at a Fortune 500 company becomes an unwitting insider threat.
Mitigation
First action: if you visited what you thought was a Google security page and installed an app, assume compromise. Change your Google password immediately from a clean device. Enable security key-based MFA if you haven't already—physical security keys are harder to intercept than app-based codes. Review your Google account recovery options and remove any unauthorized phone numbers or recovery emails.
For organizations: audit your MFA cyber security implementation. Does your MFA cyber security meaning include endpoint monitoring? If not, it should. Update security awareness training to specifically address PWA-based attacks. Block installation of PWAs from non-enterprise sources if possible.
And frankly? It's time to reconsider whether time-based MFA codes should still be considered sufficient protection in 2026. They're not.
Хронологія: коли почалася кампанія
Фішингова кампанія була вперше задокументована BleepingComputer на початку березня 2026 року, хоча дослідники безпеки припускають, що операція могла тривати без виявлення кілька тижнів раніше. Зловмисники вже скомпрометували невідому кількість жертв до виявлення. Це важливо, тому що кожен день, коли кампанія залишається активною, все більше людей потрапляє на гачок.
І рівень складності? Він тривожний.
Виявлення
Дослідники безпеки розкрили атаку під час розслідування повідомлень про крадіжку облікових даних користувачів облікових записів Google. Те, що спочатку виглядало як стандартна фішингова сторінка, при ближчому розгляді виявилося набагато більш небезпечним. Зловмисники не просто збирали інформацію для входу — вони побудували повнофункціональну систему розповсюдження шкідливого ПО, замасковану під легітну перевірку безпеки.
Сама підроблена сторінка безпеки облікового запису Google була переконливою. Вона досить добре копіювала справжній інтерфейс Google, щоб більшість користувачів не помітили обман у момент паніки. Але ось де це стає гарячим: сторінка спонукала жертв установити те, що виглядало як додаток безпеки. Насправді це був прогресивний веб-додаток (PWA) з можливостями, які виходять далеко за межі того, що має мати типовий PWA.
Чи безпечні PWA? Це питання змушує нас задавати ця атака. Прогресивні веб-додатки живуть у сіро-буній зоні — вони додатки, але не додатки, вебсайти, але не вебсайти. Сама технологія не є принципово небезпечною, але вона розкриває серйозні слабкі місця в тому, як користувачі та навіть організації розуміють межі безпеки.
Технічний аналіз
Після встановлення PWA став повноцінним інструментом дистанційного доступу. Він збирав облікові дані входу. Він захоплював коди багатофакторної автентифікації в режимі реального часу — нейтралізуючи саму захід безпеки, який повинен запобігати несанкціонованому доступу до облікового запису. Справжнє питання: якщо проблеми автентифікації MFA дозволяють так легко перехоплювати коди, скільки інших векторів атак ми пропускаємо?
Але на цьому не зупинилося.
Шкідливе ПО також відскрібувало адреси криптовалютних гаманців та фрази для відновлення. Воно моніторило вміст буфера обміну. Найтривожніше: воно перетворило браузери жертв на проксі-сервери, дозволяючи зловмисникам проводити свій власний веб-трафік через скомпрометовані машини. Це шість місяців потенційної розвідки або атак бічного руху без відома жертви.
Недостаток уразливості MFA тут — це не вада в самій системі MFA, а те, що зловмисник опинився вище за неї. Вони захопили код до того, як користувач міг його ввести. Це підкреслює, чому питання про те, чи можна зламати MFA, залишається легітимним у колах безпеки. Окремо це неможливо. Але в поєднанні з крадіжкою облікових даних це стає марним.
Оцінка збитків
BleepingComputer не опублікував підтверджені цифри щодо кількості жертв, але той факт, що кампанія залишалася активною достатньо довго для виявлення, припускає, що показник заразження був достатньо значним, щоб привернути увагу дослідників. Ми говоримо потенційно про сотні скомпрометованих облікових записів.
Вплив розповсюджується далі за сами облікові записи Google. Криптовалютні активи знаходяться під прямим ризиком. Корпоративні мережі знаходяться під ризиком, якщо яка-небудь жертва використовувала робочу електронну адресу. А браузери цих жертв? Вони тепер стали скомпрометованими інструментами спостереження.
Масштаб потенційних збитків залежить повністю від профілю жертви. Звичайний користувач втрачає криптовалюту та гроші. Працівник компанії з рейтингом Fortune 500 стає невільною внутрішньою загрозою.
Зменшення впливу
Перший крок: якщо ви відвідали те, що вважали сторінкою безпеки Google, і встановили додаток, припустіть компрометацію. Негайно змініть пароль Google з чистого пристрою. Увімкніть MFA на основі ключа безпеки, якщо ви це ще не зробили — фізичні ключі безпеки важче перехопити, ніж коди на основі додатків. Перегляньте параметри відновлення облікового запису Google та видаліть будь-які несанкціоновані номери телефонів або електронні адреси для відновлення.
Для організацій: перевірте вашу реалізацію кібербезпеки MFA. Чи ваше значення кібербезпеки MFA включає моніторинг кінцевих точок? Якщо ні, то повинна. Оновіть навчання з усвідомлення загроз безпеки, щоб спеціально розглядати атаки на основі PWA. Блокуйте встановлення PWA з неентерпрайзних джерел, якщо це можливо.
І, чесно кажучи? Час переосмислити, чи коди MFA на основі часу все ще повинні вважатися достатнім захистом у 2026 році. Вони вже не такі.