Últimas 15minutos

Ciberdelincuentes clonan páginas web de software legítimo y las promocionan mediante Google Ads para desplegar malware

En caso de que Google detecte que el sitio de destino de una campaña es malicioso, la bloquea y elimina los anuncios

Uno de los agentes maliciosos interceptados es Vidar, un troyano dirigido a la GPU de los dispositivos infectados (Pixabay)

15 minutos. Ciberdelincuentes desplegaron una nueva campaña maliciosa que se aprovecha de Google Ads para promocionar páginas web de 'software' clonadas, mediante las cuales implementan distintos tipos de 'malware' como Raccoon Stealer y Vidar una vez las han descargado en sus dispositivos.

En esta campaña, que se mantiene activa durante este mes de diciembre, se han visto implicados programas como Grammarly, Microsoft Visual Estudio, Thunderbird, OBS, Teamviewer, Slack y Zoom, tal y como ha informado el director de Guardio Labs, Nati Tal, empresa que ha realizado un informe junto a Trend Micro. En este, se explica el 'modus operandi' de estos ciberestafadores.

En concreto, los estafadores desplegaron una serie de anuncios --para lo que se sirvieron de Google Ads-- de páginas web de descarga de 'software' presuntamente legítimas, pero falsificadas.

Un lugar en los anuncios

En este sentido, conviene recordar que Google Ads permite a los anunciantes promocionar sus páginas web en la Búsqueda de Google y las coloca en los primeros lugares de la lista de resultados. De ahí que, una vez clonados estos sitios web, los usuarios que no dispongan de un bloqueador encontrarán en primer lugar estos anuncios.

En caso de que Google detecte que el sitio de destino de una campaña es malicioso, la bloquea y elimina los anuncios. Por ese motivo, los ciberdelincuentes desarrollado una estrategia para evadir este sistema de seguridad.

Tal y como informan desde Guardio Labs y Trend Micro, los estafadores utilizaron un truco para levar a las víctimas que hacen clic en el anuncio a un sitio benigno creado por ellos y, a continuación, a la web maliciosa clonada.

Páginas clonadas

De ahí que utilicen inicialmente webs con nombres muy similares como cebo. Es el caso de la aplicación de gramática y ortografía Grammarly, de la que se encontraron páginas clonadas como 'grammartly' o 'gramnarly'.

Una vez el usuario accedió a estas páginas, los ciberdelincuentes atacan de distintas maneras. En primer lugar, los ciberdelincuentes ofrecen el 'software' legítimo con el 'malware' integrado, que se ejecuta en segundo plano cuando se descarga un determinado programa.

Otra forma de ataque es mediante carpetas ZIP con archivos inflados para que el cómputo total sea más grande que el tamaño máximo permitido de los sistemas de análisis de 'malware' automatizado. Asimismo, consiguen que menos del 1 por ciento del código de estos sea el que contenga fragmentos de código malicioso, por lo que este 'software' pasa desapercibido. Por otra parte, los ciberdelincuentes optan por modificar las cargas útiles periódicamente.

Vidar: virus troyano

Según los informes de dichas empresas de ciberseguridad, uno de los agentes maliciosos interceptados es Vidar, un troyano dirigido a la GPU de los dispositivos infectados, que ha afectado principalmente a usuarios de Canadá y Estados Unidos. En concreto, ha llegado a ellos mediante búsquedas de los programas AnyDesk y MSI Afterburner.

Desde Guardio Labs y Trend Micro recomiendan a los usuarios no abusar de la confianza que se le da a Google y sus resultados de búsqueda promocionados mediante Google Ads. Asimismo, insisten en aplicar un nivel de protección más incisiva incluso para la acción más sencilla "como es buscar algo en Google", según trasladó Nati Ta

Ver más