MERCADEO

BTR Consulting advierte sobre los abusos en Google Ads para propagar malware

15 de enero de 2023

Claudia Smolansky

Google Ads

BTR Consulting advierte que los ciberdelincuentes abusan cada vez más de la plataforma Google Ads para propagar malware a usuarios desprevenidos que buscan productos de sóftwer populares y con excelente reputación.

Entre los productos suplantados se encuentran: Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird y Brave, sin embargo, no son los únicos.
 
“Los estafadores clonan los sitios web oficiales y distribuyen versiones troyanizadas del sóftwer cuando los usuarios hacen clic en el botón de descarga, inoculando programas dañinos como Raccoon Stealer, una versión personalizada de Vidar Stealer, RedLine y el cargador de malware IcedID. La cuenta de los dominios falsos y clonados asciende a más de 300, estos sitios web se promocionan como una publicidad tradicional a través de campañas publicitarias de Google” explicaron. 
 
La plataforma Google Ads ayuda a los anunciantes a promocionar páginas en la búsqueda de Google, ubicándolas en los primeros lugares de la lista de resultados como anuncios, generalmente por encima del sitio web oficial/formal de la marca. Por lo que la implicancia es que los usuarios que busquen sóftwer legítimo en un navegador sin un bloqueador de anuncios activo verán primero la promoción y es probable que hagan clic en ella porque es exactamente igual al resultado de la búsqueda real.
 
Si Google detecta que el sitio de destino es malicioso, la campaña se bloquea y los anuncios se eliminan, por lo que los estafadores deben articular un proceso extra para evitar las validaciones automáticas de Google, que consiste en utilizar un “puente” para llevar a las víctimas que hacen clic en el anuncio a un sitio irrelevante pero real creado por el atacante y luego redirigirlas a un sitio “fake” que se hace pasar por el verdadero.
 
El engaño viene en formato ZIP o MSI, se descarga de servicios de intercambio de archivos y alojamiento de código acreditados, como GitHub, Dropbox o CDN de Discord. Esto asegura que cualquier programa antivirus que se esté ejecutando en la máquina de la víctima no objetará la descarga.
 
Las recomendaciones de BTR Consulting:

  • Activar un bloqueador de anuncios en el navegador web que filtra los resultados promocionados de la búsqueda de Google.
  • Otra precaución sería desplazarse hacia abajo hasta que vea el dominio oficial del proyecto de sóftwer que está buscando.
  • Si visitas el sitio web de una marca de sóftwer en particular con frecuencia para obtener actualizaciones, es mejor marcar la URL como “favorita” y usarla para el acceso directo.
  • Una señal común de que el instalador que está a punto de descargar podría ser “malo” es un tamaño de archivo anormal.
  • Otro claro indicio de juego sucio es el dominio del sitio de descarga, que puede parecerse al oficial pero tiene caracteres intercambiados en el nombre o una sola letra incorrecta, lo que se conoce como typosquatting.