 |
Los operadores de malware han estado abusando cada vez más de la plataforma de anuncios de Google para propagar malware a usuarios desprevenidos que buscan productos de software populares. Entre los productos suplantados en estas campañas se encuentran Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird y Brave. |
Los actores de la amenaza clonan los sitios web oficiales de los proyectos mencionados y distribuyen versiones troyanizadas del software cuando los usuarios hacen clic en el botón de descarga.
Algunos de los programas maliciosos enviados a los sistemas de las víctimas de esta forma incluyen variantes de Raccoon Stealer, una versión personalizada de Vidar Stealer y el cargador de programas maliciosos IcedID.
BleepingComputer ha informado recientemente sobre este tipo de campañas, ayudando a revelar una campaña masiva de typosquatting que utilizaba más de 200 dominios haciéndose pasar por proyectos de software. Otro ejemplo es una campaña que utilizaba falsos portales MSI Afterburner para infectar a los usuarios con el programa de robo RedLine.
Sin embargo, un detalle que faltaba era cómo se exponían los usuarios a estos sitios web, una información que ahora se ha dado a conocer.
Dos informes de Guardio Labs y Trend Micro explican que estos sitios web maliciosos se promocionan a un público más amplio a través de campañas de anuncios de Google.
Abuso de Google Ads
La plataforma Google Ads ayuda a los anunciantes a promocionar páginas en la Búsqueda de Google, colocándolas en la parte superior de la lista de resultados como anuncios, a menudo por encima del sitio web oficial del proyecto.
Esto significa que los usuarios que busquen software legítimo en un navegador sin un bloqueador de anuncios activo verán la promoción en primer lugar y es probable que hagan clic en ella porque se parece mucho al resultado de búsqueda real.
Si Google detecta que el sitio de destino es malicioso, la campaña se bloquea y los anuncios se eliminan, por lo que los actores de amenazas necesitan emplear un truco en ese paso para eludir las comprobaciones automáticas de Google.
Según Guardio y Trend Micro, el truco consiste en llevar a las víctimas que hacen clic en el anuncio a un sitio irrelevante pero benigno creado por el actor de la amenaza y luego redirigirlas a un sitio malicioso que suplanta el proyecto de software.
La carga útil, que se presenta en formato ZIP o MSI, se descarga desde servicios fiables de intercambio de archivos y alojamiento de código, como GitHub, Dropbox o la CDN de Discord. Esto garantiza que los programas antivirus que se ejecuten en el equipo de la víctima no se opongan a la descarga.
Guardio Labs dice que en una campaña que observaron en noviembre, el actor de la amenaza atrajo a los usuarios con una versión troyanizada de Grammarly que entregaba Raccoon Stealer.
El malware se incluía con el software legítimo. Los usuarios recibían lo que descargaban y el malware se instalaba silenciosamente.
El informe de Trend Micro, que se centra en una campaña de IcedID, afirma que los actores de la amenaza abusan del Sistema de Dirección de Tráfico Keitaro para detectar si el visitante del sitio web es un investigador o una víctima válida antes de que se produzca la redirección. El abuso de este TDS se ha visto desde 2019.
Evite las descargas dañinas
Los resultados de búsqueda promocionados pueden ser engañosos, ya que presentan todos los signos de legitimidad. El FBI ha emitido recientemente una advertencia sobre este tipo de campañas publicitarias, instando a los internautas a ser muy precavidos.
Una buena forma de bloquear estas campañas es activar un bloqueador de anuncios en el navegador web, que filtra los resultados promocionados de la Búsqueda de Google.
Otra precaución sería desplazarse hacia abajo hasta ver el dominio oficial del proyecto de software que se busca. Si no está seguro, el dominio oficial aparece en la página de Wikipedia del software.
Si visita con frecuencia el sitio web de un proyecto de software concreto para buscar actualizaciones, es mejor marcar la URL y utilizarla para acceder directamente.
Una señal común de que el instalador que está a punto de descargar podría ser malicioso es un tamaño de archivo anormal.
Otro claro indicio de juego sucio es el dominio del sitio de descarga, que puede parecerse al oficial pero con caracteres intercambiados en el nombre o una sola letra errónea, lo que se conoce como "typosquatting".