🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Así es como ciberdelincuentes pueden robar tu información a través de anuncios de Google

Ciberdelincuentes están configurando sitios web falsos para software popular gratuito y de código abierto. El objetivo es promover descargas maliciosas a través de anuncios en los resultados de búsqueda de Google.

Al menos un usuario destacado en la escena de las criptomonedas ha sido víctima de la campaña. Según él, los hackers robaron todos sus criptoactivos digitales junto con el control de sus cuentas comerciales y personales.

Durante el fin de semana, el criptoinfluencer Alex, mejor conocido por su personaje en línea  NFT God, fue hackeado después de iniciar un ejecutable falso para el software de grabación de video y transmisión en vivo Open Broadcaster Software (OBS) que habían descargado de un anuncio de Google en los resultados de búsqueda.

Anuncio en búsquedas de Google para la descarga maliciosa de OBS Studio

“No pasó nada cuando hice clic en EXE”, escribió Alex en un hilo de Twitter contando su experiencia durante el fin de semana. Sin embargo, unas horas después unos amigos les alertaron que su cuenta de Twitter había sido hackeada.

Sin que Alex lo supiera, probablemente se trataba de un malware de robo de información que robó las contraseñas guardadas del navegador, las cookies, los tokens de Discord y las billeteras de criptomonedas y las envió a un atacante remoto.

Pronto, Alex descubrió que su cuenta en el mercado OpenSea NFTs también se había visto comprometida. Además, una billetera diferente figuraba como propietaria de uno de sus activos digitales.

“Supe en ese momento que todo se había ido. Todo. Me robaron todas mis criptomonedas y NFT”. 

Pronto, Alex descubrió que sus billeteras de Substack, Gmail, Discord y criptomonedas sufrieron el mismo destino y fueron controladas por los hackers. 

Las cuentas en línea hackeadas del criptoinfluencer NFT God

Estrategia no tan nueva

Si bien esta no es una estratagema nueva, al parecer, los atacantes la están usando con más frecuencia. En octubre del año pasado,  algunos medios informaron  sobre una campaña masiva que se basó en más de 200 dominios de typosquatting para más de dos docenas de marcas para engañar a los usuarios.

El método de distribución se desconocía en ese momento, pero informes separados en diciembre de las empresas de seguridad cibernética Trend Micro y Guardio revelaron que los hackers estaban abusando de la plataforma Google Ads para impulsar descargas maliciosas en los resultados de búsqueda.

Aluvión de anuncios maliciosos en los resultados de búsqueda de Google

Siguiendo el hilo de NFT God, algunos expertos decidieron hacer su propia investigación y descubrieron que OBS es uno de una larga lista de software que los atacantes hacen pasar por descargas maliciosas en los resultados de búsqueda de Google Ads.

Un ejemplo que encontramos es un resultado de búsqueda de Google Ad para Rufus, una utilidad gratuita para crear unidades flash USB de arranque.

El atacante registró dominios que se parecen al oficial y copió la parte principal del sitio legítimo hasta la sección de descargas.

En un caso, utilizaron el dominio genérico de nivel superior “pro”, probablemente en un intento de despertar el interés de las víctimas y atraerlas con la promesa de un conjunto más amplio de funciones del programa.

Descarga maliciosa de Rufus promovida a través de anuncios en los resultados de búsqueda de Google

Para tener en cuenta, no hay una variante avanzada de Rufus. Solo hay una edición disponible como versión instalable o portátil  alojada en GitHub.

Para la versión maliciosa, la descarga va a un servicio de transferencia de archivos. Debido a que es un archivo bomba, muchos motores antivirus no lo detectan como una amenaza .

Otro programa popular suplantado es el editor de texto y código fuente Notepad++. El atacante usó typosquatting para crear un dominio similar al legítimo del desarrollador oficial.

Anuncio en Google Search para descarga maliciosa de Notepad++

El investigador de seguridad Will Dormann descubrió que las descargas falsas de Notepad++ en la sección patrocinada de la búsqueda de Google estaban disponibles desde URLs adicionales. No obstante, todos los archivos estaban marcados como maliciosos por varios motores antivirus (AV) en la plataforma de escaneo Virus Total.

Anuncio malicioso de Notepad++ en los resultados de búsqueda de Google

Más anuncios maliciosos

Otros investigadores encontraron un sitio web lleno de descargas de software falsas distribuidas únicamente a través de los resultados de búsqueda de Google Ads. El sitio web se hace pasar por lo que parece ser una empresa legítima de diseño web en India llamada Zensoft Tech.

Desafortunadamente, no pudieron verificar si las descargas fueron maliciosas, pero dado que el dominio es una URL con error tipográfico e impide que los motores de búsqueda indexen el contenido. Además,el sitio proporciona las descargas solo a través de anuncios en los resultados de búsqueda, entonces, hay un fuerte indicio de actividad maliciosa.

Entre las piezas de software descubiertas en el sitio web se encuentran las utilidades de compresión de archivos 7-ZIP y WinRAR, y el reproductor multimedia ampliamente utilizado VLC.

Descargas maliciosas para WinRAR, 7-ZIP, VLC en anuncios patrocinados en búsquedas de Google

Desde un dominio diferente, los atacantes proporcionaron una versión maliciosa de la utilidad CCleaner. CCleaner es usado para eliminar archivos potencialmente no deseados y entradas de registro de Windows no válidas.

Parece que los hackers hicieron un esfuerzo por superar la oferta del desarrollador legítimo y, por lo tanto, colocar su anuncio en la primera posición. Como se ve en la imagen a continuación, el sitio web oficial de CCleaner se muestra debajo del anuncio malicioso. Este sitio ofrece un archivo CCleaner.zip que instala el malware de robo de información Redline

Descarga maliciosa de CCleaner impulsada a través de Google Ads

Varios investigadores de seguridad (mdmck10,  MalwareHunterTeam,  Will Dormann y Germán Fernández) han descubierto URLs adicionales que alojan descargas maliciosas que se hacen pasar por software gratuito y de código abierto. Esto confirma que atraer a los usuarios a través de resultados patrocinados en la búsqueda de Google es un enfoque más común para los ciberdelincuentes.

Dominios maliciosos

Germán Fernández, de la empresa de ciberseguridad CronUp, proporcionó una lista de 70 dominios que distribuyen malware a través de los resultados de búsqueda de Google Ads haciéndose pasar por software legítimo.

Los sitios web son réplicas de los oficiales y proporcionan software falso o redirigen a otra ubicación de descarga. Muchos de ellos ofrecen Audacity y algunos son para VLC y el editor de imágenes GIMP.

Un usuario casi cae en la trampa cuando buscaba obtener el paquete de creación 3D de código abierto Blender 3D. Un  tweet de MalwareHunterTeam muestra que tres anuncios maliciosos de este producto precedieron al enlace del desarrollador oficial.

Las descargas maliciosas de Blender 3D ocupan el primer lugar en los resultados de búsqueda de Google

Al observar una de las muestras marcadas como maliciosas por algunos productos AV, el investigador de seguridad Will Dormann notó que tenía una firma no válida de la empresa de ciberseguridad Bitdefender.

El malware entregado de esta manera, en algunos casos fue el payload RedLine Stealer que vimos en el sitio falso de CCleaner.

Este malware recopila datos confidenciales de los navegadores (credenciales, tarjeta de crédito, información de autocompletado). Además, recopila detalles sobre el sistema (nombre de usuario, ubicación, hardware, software de seguridad disponible) y criptomonedas.

Fernández descubrió que un atacante distribuyó el troyano de acceso remoto basado en .NET SectoRAT, también conocido como Arechclient2. Este fue distribuido a través de descargas falsas para el editor de audio digital Audacity.

Respuesta de Google

El investigador también se encontró con el ladrón de información Vidar entregado a través de descargas maliciosas para Blender 3D anunciado en la Búsqueda de Google. Vidar se enfoca en recopilar información confidencial de los navegadores y también puede robar billeteras de criptomonedas.

Ante los hallazgos, un representante de Google dijo que las políticas de la plataforma están diseñadas y aplicadas para evitar la suplantación de identidad de marcas.

“Tenemos políticas sólidas que prohíben los anuncios que intentan  eludir nuestra aplicación ocultando la identidad del anunciante y haciéndose pasar por otras marcas, y las aplicamos enérgicamente. Revisamos los anuncios en cuestión y los eliminamos”

– Google

Google dijo que verificará si los anuncios y sitios adicionales reportados violan sus políticas y tomará las medidas apropiadas si es necesario.

Contramedidas

Debido a que los atacantes usan una plataforma confiable como Google para difundir su malware, debes ser muy cauteloso para no caer en la trampa. 

El mejor consejo para estos casos es verificar la URL de una fuente de descarga. Debes ser muy meticuloso y observar cada detalle en la URL como en el sitio en sí. 

Este sencillo pero valioso consejo podría marcar la diferencia entre perder el acceso a tu información confidencial o cuentas en línea y obtener recursos digitales de proveedores legítimos.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información