Atacantes Copiando Sitios de Software Legítimos para Difundir Malware a Través de la Plataforma de Google Ads

Ha habido un aumento en el número de actores de amenazas que abusan de la plataforma de Google Ads para distribuir malware a usuarios desprevenidos que buscan descargar estos populares productos de software.

Bueno, los actores de amenazas replican los sitios web oficiales de estos productos de software y luego difunden versiones llenas de troyanos de estos productos cuando el usuario hace clic en el botón de descarga.

Estos son los productos de software que los actores de amenazas están atacando: Grammarly, Malwarebytes, μTorrents, AnyDesk, MSI Afterburner, Slack, Thunderbird, OB.S, Ring, Libre Office, Brave, Dashlane, Teamviewer y Audacity.

Bueno, parte de este software malicioso que la víctima obtuvo en sus computadoras incluye las variantes de Racoon Stealer, que es una versión personalizada del Vidar Steeler y el cargador de malware IceID.

Hace un mes, cubrimos la campaña de MSI Afterburner, que infectó a los usuarios con el malware RedLine, y un informe de Bleeping computers menciona una masiva campaña de typosquatting en la que hasta 200 dominios copiaron productos de software.

No estaba claro cómo los víctimas terminaron aterrizando en esos sitios web, aunque informes de múltiples empresas de seguridad como TrendMicro y Guardio Labs explican que todo sucedió cuando los atacantes de amenazas llegaron a una base de usuarios más amplia promoviendo sus sitios web a través de campañas publicitarias en Google Ads.

La plataforma de anuncios de Google es un servicio que permite a los anunciantes promover sus sitios web y páginas mientras los coloca en la parte superior de la búsqueda y, a menudo, por encima de los sitios web oficiales de los productos.

Esto significa que los usuarios que no utilizan o tienen bloqueadores de anuncios desactivados verán ese sitio web promocionado de inmediato y harán clic en él, tomándolo como un resultado de búsqueda real.

Los actores de amenazas luego aplican trucos para eludir las verificaciones automatizadas de Google, y si Google descubre que la página de destino es maliciosa, entonces la campaña de anuncios se bloquea y los anuncios se eliminan.

Ahora, según GaurdioLabs y TrendMicro. El truco que utilizan los atacantes de amenazas es hacer que las víctimas hagan clic en el anuncio y luego llevarlas a un sitio web no relacionado pero no dañino, que, por cierto, también es creado por el atacante, redirigiéndolas al sitio web malicioso que imita el producto de software.

Así que tan pronto como los usuarios objetivo visitan el sitio web duplicado, el servidor los redirige inmediatamente al sitio web fraudulento y de allí a la carga maliciosa, dijo GaurdioLabs.

Además, estos sitios web fraudulentos ni siquiera son visibles para el visitante, no alcanzándolos desde el flujo promocional real, sitios irrelevantes para los rastreadores, visitantes ocasionales, bots y ejecutores de políticas de Google.

La carga viene en un archivo ZIP y se descarga desde un sitio web legítimo como GitHub, Dropbox o Discord CDN, asegurando que el antivirus que se ejecuta en la computadora objetivo no objete la descarga.

Según la firma de seguridad, la campaña que descubrieron en noviembre en la que los atacantes de amenazas atrajeron a los usuarios a la versión llena de troyanos de Grammarly, que tenía Racoon Stealer.

El malware venía con el software original, por lo que los usuarios obtienen el software legítimo así como el malware que se instalaría silenciosamente.

Un informe de TrendMicro explica que la campaña IceID en la que los atacantes explotaron el sistema de tráfico Ketaro para detectar si el usuario que visita el sitio web es realmente una víctima o un investigador, y luego se produce la redirección; esta explotación de TDS ha estado presente desde 2019.

Bueno, dicho esto, los resultados de búsqueda promocionados son a menudo difíciles de identificar como falsos debido a que llevan todos los elementos de legitimidad, así que una forma de bloquear estas campañas publicitarias es activar un bloqueador de anuncios en su navegador, que, a su vez, filtrará los resultados de búsqueda promocionados.

Otra forma es desplazarse hacia abajo en la página web hasta que vea el dominio del producto de software que está buscando descargar.

Leer: RisePro Malware Robando Contraseñas, Información de Tarjetas de Crédito y Monederos de Criptomonedas