Ciberdelincuentes están usando Google Ads para propagar malware en software legítimo
Los operadores de malware están abusando cada vez más de la plataforma Google Ads para propagar malware a usuarios desprevenidos que buscan productos de software populares.
Entre los productos suplantados en estas campañas están Grammarly, MSI Afterburner y Slack. Asimismo, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, LibreOffice, Teamviewer, Thunderbird y Brave.
Los atacantes clonan los sitios web oficiales de los proyectos anteriores y distribuyen versiones troyanizadas del software cuando los usuarios hacen clic en el botón de descarga.
Algunos de los programas maliciosos entregados a los sistemas de las víctimas de esta manera incluyen variantes de Raccoon Stealer, una versión personalizada de Vidar Stealer y el instalador de malware IcedID.
Diversos medios han reportado recientemente sobre este tipo de campañas, lo que ayudó a revelar una campaña masiva de typosquatting que utilizó más de 200 dominios para hacerse pasar por proyectos de software. Otro ejemplo es una campaña que usa portales de MSI Afterburner falsos para infectar a los usuarios con el malware RedLine.
Sin embargo, un detalle que faltaba era cómo los usuarios estaban expuestos a estos sitios web, una información que ahora conocemos.
Dos informes de Guardio Labs y Trend Micro explican que estos sitios web maliciosos se promocionan a un público más amplio a través de campañas publicitarias de Google.
Abuso de Google Ads
La plataforma Google Ads ayuda a los anunciantes a promocionar páginas en las Búsquedas de Google. En otras palabras, ubica las páginas en los primeros lugares de la lista de resultados como anuncios, a menudo por encima del sitio web oficial del proyecto.
Esto significa que los usuarios que busquen software legítimo en un navegador sin un bloqueador de anuncios activo verán primero la promoción. Y, es probable que hagan clic en ella porque se parece mucho al resultado de la búsqueda real.
Si Google detecta que el sitio de destino es malicioso, la campaña se bloquea y los anuncios se eliminan. Es decir, los ciberdelincuentes deben emplear un truco en este paso para evitar las comprobaciones automáticas de Google.
Según Guardio y Trend Micro, el truco consiste en llevar a las víctimas que hacen clic en el anuncio a un sitio irrelevante pero benigno, creado por el atacante. No obstante, posteriormente las redirigen a un sitio malicioso que se hace pasar por el proyecto de software.
“En el momento en que esos sitios ‘disfrazados’ son visitados por visitantes específicos, el servidor los redirige inmediatamente al sitio falso y de allí al payload malicioso.”
“Esos sitios maliciosos son prácticamente invisibles para los visitantes que no llegan desde el flujo promocional real y se muestran como sitios benignos y no relacionados con rastreadores, bots, visitantes ocasionales y, por supuesto, para los encargados de hacer cumplir las políticas de Google”.
Explicación en el informe de Guardio Labs
Payload
El payload, que viene en formato ZIP o MSI, se descarga de servicios de intercambio de archivos y alojamiento de código acreditados, como GitHub, Dropbox o CDN de Discord. Esto asegura que cualquier programa antivirus que se esté ejecutando en la máquina de la víctima no objetará la descarga.
Guardio Labs dice que en una campaña que observaron en noviembre, el atacante atrajo a los usuarios con una versión troyanizada de Grammarly que entregó Raccoon Stealer.
El malware estaba incluido con el software legítimo. Los usuarios obtuvieron lo que descargaron y el malware se instaló en silencio.
El informe de Trend Micro, que se centra en una campaña de IcedID, dice que los ciberdelincuentes abusan del sistema de dirección de tráfico de Keitaro. Usan Keitaro para detectar si el visitante del sitio web es un investigador o una víctima válida antes de que ocurra la redirección. El abuso de este TDS se ha visto desde 2019.
Evitar las descargas dañinas
Los resultados de búsqueda promocionados pueden ser complicados, ya que llevan todos los signos de legitimidad. El FBI emitió recientemente una advertencia sobre este tipo de campaña publicitaria, instando a los usuarios de Internet a ser muy cautelosos.
Una buena manera de bloquear estas campañas es activar un bloqueador de anuncios en tu navegador web. Este filtra los resultados promocionados de la Búsqueda de Google.
Otra precaución sería desplazarse hacia abajo hasta que veas el dominio oficial del proyecto de software que estás buscando. Si no estás seguro, el dominio oficial aparece en la página de Wikipedia del software.
Si visitas el sitio web de un proyecto de software en particular con frecuencia para obtener actualizaciones, es mejor marcar la URL como favorita y usarla para el acceso directo.
Una señal común de que el instalador que estás a punto de descargar podría ser malicioso es un tamaño de archivo anormal.
Otro claro indicio de juego sucio es el dominio del sitio de descarga, que puede parecerse al oficial pero tiene caracteres intercambiados en el nombre o una sola letra incorrecta, lo que se conoce como “typosquatting”.