Los ciberdelincuentes están cada vez más utilizando Google Ads para difundir malware entre usuarios que buscan software popular. Algunos de los productos que se han visto afectados por estas campañas de malware son Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird y Brave.
Los delincuentes están clonando los sitios web oficiales mencionados anteriormente y aprovechan para distribuir software maliciosos cuando el usuario hacen clic en el botón de descarga. Algunos de los programas maliciosos que se entregan a los sistemas de las víctimas de esta manera incluyen variantes de Raccoon Stealer, una versión personalizada de Vidar Stealer y el cargador de malware IcedID.
Los ciberdelincuentes utilizan Google Ads para distribuir malware
Para los que no están familiarizados con Google Ads, se trata de una de las más grandes plataformas que permite a los anunciantes promocionar sus páginas en la Búsqueda de Google, colocándolas en los primeros lugares de la lista de resultados como anuncios, a menudo por encima del sitio web oficial del proyecto.
Esto significa que cuando los usuarios buscan software legítimo en un navegador sin un bloqueador de anuncios activo, es posible que vean primero el anuncio y, al no notar la diferencia, hagan clic en el creyendo que es el resultado de la búsqueda real.
Si Google detecta que el sitio de destino de una campaña es malicioso, bloquea la campaña y elimina los anuncios. Por eso, los delincuentes deben utilizar un truco para evitar que sus campañas sean detectadas por las comprobaciones automáticas de Google.
De acuerdo con Guardio Labs y Trend Micro, los ciberdelincuentes utilizan un truco para llevar a las víctimas que hacen clic en el anuncio a un sitio benigno pero irrelevante creado por ellos, y luego redirigirlas a un sitio malicioso que se presenta como el proyecto de software.
Esos sitios maliciosos son prácticamente invisibles para los visitantes que no llegan desde el flujo promocional real y se muestran como sitios benignos y no relacionados con rastreadores, bots, visitantes ocasionales y, por supuesto, para los encargados de hacer cumplir las políticas de Google
Los ciberdelincuentes descargan la carga útil, que puede venir en formato ZIP o MSI, de servicios de intercambio de archivos y alojamiento de código de confianza como GitHub, Dropbox o CDN de Discord. Esto garantiza que cualquier programa antivirus que se esté ejecutando en la máquina de la víctima no bloquee la descarga.
Guardio Labs ha informado que las campañas se han detectado en noviembre y que los delincuentes han comenzado a distribuir software malicioso haciendo uso de este método.
Consejos para protegerse de las campañas de malware en Google Ads
Los resultados de búsqueda promocionados pueden ser engañosos, ya que a menudo tienen todas las apariencias de ser legítimos. Tal es por eso que el FBI recientemente emitió una advertencia sobre este tipo de campañas publicitarias y aconsejó a los usuarios de Internet que sean muy cautelosos al hacer clic en ellos, es más, recomendaron utilizar bloqueadores de anuncios.
Para protegerse de estas campañas de malware, se pueden tomar algunas medidas:
- Activar un bloqueador de anuncios en el navegador web para filtrar los resultados promocionados de la Búsqueda de Google.
- Desplazarse hacia abajo en la lista de resultados hasta encontrar el dominio oficial del proyecto de software que se está buscando. Si se tiene dudas, se puede consultar la página de Wikipedia del software para verificar el dominio oficial.
- Si se visita el sitio web de un proyecto de software con frecuencia, es mejor marcar la URL como favorita y usarla para el acceso directo en lugar de volver a buscar el software cada vez.
- Una señal de que el instalador que se está a punto de descargar podría ser malicioso es un tamaño de archivo anormal.
- Otro indicio de posibles intenciones maliciosas es el dominio del sitio de descarga, que puede parecerse al oficial pero tener caracteres intercambiados en el nombre o una sola letra incorrecta.
Debido a todas las advertencias que están lanzado los diferentes investigadores de seguridad te recomendamos que tengas mucho cuidado con los archivos que descargas o las páginas web que visitas, siempre se debe estar muy atento.
