MERCADEO
BTR Consulting advierte sobre los abusos en Google Ads para propagar malware
Claudia Smolansky| 15 de enero de 2023
Google Ads
BTR Consulting advierte que los ciberdelincuentes abusan cada vez más de la plataforma Google Ads para propagar malware a usuarios desprevenidos que buscan productos de sóftwer populares y con excelente reputación.
Entre los productos suplantados se encuentran: Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird y Brave, sin embargo, no son los únicos.
“Los estafadores clonan los sitios web oficiales y distribuyen versiones troyanizadas del sóftwer cuando los usuarios hacen clic en el botón de descarga, inoculando programas dañinos como Raccoon Stealer, una versión personalizada de Vidar Stealer, RedLine y el cargador de malware IcedID. La cuenta de los dominios falsos y clonados asciende a más de 300, estos sitios web se promocionan como una publicidad tradicional a través de campañas publicitarias de Google” explicaron.
La plataforma Google Ads ayuda a los anunciantes a promocionar páginas en la búsqueda de Google, ubicándolas en los primeros lugares de la lista de resultados como anuncios, generalmente por encima del sitio web oficial/formal de la marca. Por lo que la implicancia es que los usuarios que busquen sóftwer legítimo en un navegador sin un bloqueador de anuncios activo verán primero la promoción y es probable que hagan clic en ella porque es exactamente igual al resultado de la búsqueda real.
Si Google detecta que el sitio de destino es malicioso, la campaña se bloquea y los anuncios se eliminan, por lo que los estafadores deben articular un proceso extra para evitar las validaciones automáticas de Google, que consiste en utilizar un “puente” para llevar a las víctimas que hacen clic en el anuncio a un sitio irrelevante pero real creado por el atacante y luego redirigirlas a un sitio “fake” que se hace pasar por el verdadero.
El engaño viene en formato ZIP o MSI, se descarga de servicios de intercambio de archivos y alojamiento de código acreditados, como GitHub, Dropbox o CDN de Discord. Esto asegura que cualquier programa antivirus que se esté ejecutando en la máquina de la víctima no objetará la descarga.
Las recomendaciones de BTR Consulting:
- Activar un bloqueador de anuncios en el navegador web que filtra los resultados promocionados de la búsqueda de Google.
- Otra precaución sería desplazarse hacia abajo hasta que vea el dominio oficial del proyecto de sóftwer que está buscando.
- Si visitas el sitio web de una marca de sóftwer en particular con frecuencia para obtener actualizaciones, es mejor marcar la URL como “favorita” y usarla para el acceso directo.
- Una señal común de que el instalador que está a punto de descargar podría ser “malo” es un tamaño de archivo anormal.
- Otro claro indicio de juego sucio es el dominio del sitio de descarga, que puede parecerse al oficial pero tiene caracteres intercambiados en el nombre o una sola letra incorrecta, lo que se conoce como typosquatting.
