Los ciberdelincuentes abusan cada vez más de la plataforma Google Ads para propagar malware a usuarios desprevenidos que buscan productos de software populares y con excelente reputación.

Entre los productos suplantados se encuentran: Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird y Brave, sin embargo no son los únicos.

Los estafadores clonan los sitios web oficiales y distribuyen versiones troyanizadas del software cuando los usuarios hacen click en el botón de descarga, inoculando programas dañinos como Raccoon Stealer, una versión personalizada de Vidar Stealer, RedLine y el cargador de malware IcedID. La cuenta de los dominios falsos y clonados asciende a más de 300, estos sitios web se promocionan como una publicidad tradicional a través de campañas publicitarias de Google.

La plataforma Google Ads ayuda a los anunciantes a promocionar páginas en la Búsqueda de Google, ubicándolas en los primeros lugares de la lista de resultados como anuncios, generalmente por encima del sitio web oficial/formal de la marca. Por lo que la implicancia es que los usuarios que busquen software legítimo en un navegador sin un bloqueador de anuncios activo verán primero la promoción y es probable que hagan click en ella porque es exactamente igual al resultado de la búsqueda real.

Si Google detecta que el sitio de destino es malicioso, la campaña se bloquea y los anuncios se eliminan, por lo que los estafadores deben articular un proceso extra para evitar las validaciones automáticas de Google. Que consiste en utilizar un “puente” para llevar a las víctimas que hacen click en el anuncio a un sitio irrelevante pero real creado por el atacante y luego redirigirlas a un sitio “fake” que se hace pasar por el verdadero.

El engaño viene en formato ZIP o MSI, se descarga de servicios de intercambio de archivos y alojamiento de código acreditados, como GitHub, Dropbox o CDN de Discord. Esto asegura que cualquier programa antivirus que se esté ejecutando en la máquina de la víctima no objetará la descarga.

Recomendaciones:

• Una buena manera de bloquear estas campañas es activar un bloqueador de anuncios en su navegador web, que filtra los resultados promocionados de la Búsqueda de Google.
• Otra precaución sería desplazarse hacia abajo hasta que vea el dominio oficial del proyecto de software que está buscando.
• Si visitás el sitio web de una marca de software en particular con frecuencia para obtener actualizaciones, es mejor marcar la URL como “favorita” y usarla para el acceso directo.
• Una señal común de que el instalador que está a punto de descargar podría ser “malo” es un tamaño de archivo anormal.
• Otro claro indicio de juego sucio es el dominio del sitio de descarga, que puede parecerse al oficial pero tiene caracteres intercambiados en el nombre o una sola letra incorrecta, lo que se conoce como “typosquatting”.

Noticias Relacionadas

Identificaron importantes ataques dirigidos contra la plataforma Cloud de Google3 min read Ciberinteligencia Rusa en Whatsapp4 min read Anuncios de Google y RRSS conducen a campañas de estafas2 min read Ciberdelito 2023: el año de consolidación de la industria3 min read