Ciberseguridad 360 | Los piratas informáticos abusan de Google Ads para propagar malware en software legítimo

Los operadores de malware abusan cada vez m�s de la plataforma Google Ads para propagar malware a usuarios desprevenidos que buscan productos de software populares.

Entre los productos suplantados en estas campa�as se incluyen Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, ?Torrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird y Brave.

Los actores de la amenaza clonan los sitios web oficiales de los proyectos anteriores y distribuyen versiones troyanizadas del software cuando los usuarios hacen clic en el bot�n de descarga.

Algunos de los programas maliciosos entregados a los sistemas de las v�ctimas de esta manera incluyen variantes de Raccoon Stealer, una versi�n personalizada de Vidar Stealer y el cargador de malware IcedID.

BleepingComputer ha informado recientemente sobre este tipo de campa�as, lo que ayud� a revelar una campa�a masiva de typosquatting que utiliz� m�s de 200 dominios para hacerse pasar por proyectos de software. Otro ejemplo es una campa�a que usa portales MSI Afterburner falsos para infectar a los usuarios con el ladr�n RedLine.

Sin embargo, un detalle que faltaba era c�mo los usuarios estaban expuestos a estos sitios web, informaci�n que ahora se conoce.

Dos informes de Guardio Labs y Trend Micro explican que estos sitios web maliciosos se promocionan a un p�blico m�s amplio a trav�s de campa�as publicitarias de Google.

Abuso de anuncios de Google

La plataforma Google Ads ayuda a los anunciantes a promocionar p�ginas en la B�squeda de Google, ubic�ndolas en los primeros lugares de la lista de resultados como anuncios, a menudo por encima del sitio web oficial del proyecto.

Esto significa que los usuarios que busquen software leg�timo en un navegador sin un bloqueador de anuncios activo ver�n primero la promoci�n y es probable que hagan clic en ella porque se parece mucho al resultado de la b�squeda real.

Si Google detecta que el sitio de destino es malicioso, la campa�a se bloquea y los anuncios se eliminan, por lo que los actores de amenazas deben emplear un truco en ese paso para evitar las comprobaciones autom�ticas de Google.

Seg�n Guardio y Trend Micro, el truco consiste en llevar a las v�ctimas que hacen clic en el anuncio a un sitio irrelevante pero benigno creado por el atacante y luego redirigirlas a un sitio malicioso que se hace pasar por el proyecto de software.

"En el momento en que esos sitios 'disfrazados' son visitados por visitantes espec�ficos, el servidor los redirige inmediatamente al sitio falso y de all� a la carga �til maliciosa", explica Guardio Labs en el informe .

?Esos sitios maliciosos son pr�cticamente invisibles para los visitantes que no llegan desde el flujo promocional real y se muestran como sitios benignos y no relacionados con rastreadores, bots, visitantes ocasionales y, por supuesto, para los encargados de hacer cumplir las pol�ticas de Google? - Guardio Labs

La carga �til, que viene en formato ZIP o MSI, se descarga de servicios de intercambio de archivos y alojamiento de c�digo acreditados, como GitHub, Dropbox o CDN de Discord. Esto asegura que cualquier programa antivirus que se est� ejecutando en la m�quina de la v�ctima no objetar� la descarga.

Guardio Labs dice que en una campa�a que observaron en noviembre, el actor de amenazas atrajo a los usuarios con una versi�n troyanizada de Grammarly que entreg� Raccoon Stealer.

El malware estaba incluido con el software leg�timo. Los usuarios obtendr�an lo que descargaron y el malware se instalar�a en silencio.

El informe de Trend Micro , que se centra en una campa�a de IcedID, dice que los actores de amenazas abusan del sistema de direcci�n de tr�fico de Keitaro para detectar si el visitante del sitio web es un investigador o una v�ctima v�lida antes de que ocurra la redirecci�n. El abuso de este TDS se ha visto desde 2019 .

Evita las descargas da�inas

Los resultados de b�squeda promocionados pueden ser complicados, ya que llevan todos los signos de legitimidad. El FBI emiti� recientemente una advertencia sobre este tipo de campa�a publicitaria, instando a los usuarios de Internet a ser muy cautelosos.

Una buena manera de bloquear estas campa�as es activar un bloqueador de anuncios en su navegador web, que filtra los resultados promocionados de la B�squeda de Google.

Otra precauci�n ser�a desplazarse hacia abajo hasta que vea el dominio oficial del proyecto de software que est� buscando. Si no est� seguro, el dominio oficial aparece en la p�gina de Wikipedia del software.

Si visita el sitio web de un proyecto de software en particular con frecuencia para obtener actualizaciones, es mejor marcar la URL como favorita y usarla para el acceso directo.

Una se�al com�n de que el instalador que est� a punto de descargar podr�a ser malicioso es un tama�o de archivo anormal.

Otro claro indicio de juego sucio es el dominio del sitio de descarga, que puede parecerse al oficial pero tiene caracteres intercambiados en el nombre o una sola letra incorrecta, lo que se conoce como "typosquatting".

Fuente: BC.