Ciberdelincuentes han desplegado una nueva campaña maliciosa que se aprovecha de Google Ads para promocionar páginas web de 'software' clonadas, mediante las cuales implementan distintos tipos de 'malware' como Raccoon Stealer y Vidar una vez las han descargado en sus dispositivos.
En esta campaña, que se ha mantenido activa durante este mes de diciembre, se han visto implicados programas como Grammarly, Microsoft Visual Estudio, Thunderbird, OBS, Teamviewer, Slack y Zoom, tal y como ha informado el director de Guardio Labs, Nati Tal, empresa que ha realizado un informe junto a Trend Micro. En este, se explica el 'modus operandi' de estos ciberestafadores.
En concreto, los estafadores han desplegado una serie de anuncios --para lo que se han servido de Google Ads-- de páginas web de descarga de 'software' presuntamente legítimas, pero falsificadas.
En este sentido, conviene recordar que Google Ads permite a los anunciantes promocionar sus páginas web en la Búsqueda de Google y las coloca en los primeros lugares de la lista de resultados. De ahí que, una vez clonados estos sitios web, los usuarios que no dispongan de un bloqueador encontrarán en primer lugar estos anuncios.
En caso de que Google detecte que el sitio de destino de una campaña es malicioso, la bloquea y elimina los anuncios. Por ese motivo, los ciberdelincuentes han desarrollado una estrategia para evadir este sistema de seguridad.
Tal y como informan desde Guardio Labs y Trend Micro, los estafadores han utilizado un truco para levar a las víctimas que hacen clic en el anuncio a un sitio benigno creado por ellos y, a continuación, a la web maliciosa clonada.
De ahí que utilicen inicialmente webs con nombres muy similares como cebo. Es el caso de la aplicaicón de gramática y ortografía Grammarly, de la que se han encontrado páginas clonadas como 'grammartly' o 'gramnarly'.
Una vez el usuario ha accedido a estas páginas, los ciberdelincuentes atacan de distintas maneras. En primer lugar, los ciberdelincuentes ofrecen el 'software' legítimo con el 'malware' integrado, que se ejecuta en segundo plano cuando se descarga un determinado programa.
Otra forma de ataque es mediante carpetas ZIP con archivos inflados para que el cómputo total sea más grande que el tamaño máximo permitido de los sistemas de análisis de 'malware' automatizado. Asimismo, consiguen que menos del 1 por ciento del código de estos sea el que contenga fragmentos de código malicioso, por lo que este 'software' pasa desapercibido. Por otra parte, los ciberdelincuentes optan por modificar las cargas útiles periódicamente.
Según los informes de dichas empresas de ciberseguridad, uno de los agentes maliciosos interceptados es Vidar, un troyano dirigido a la GPU de los dispositivos infectados, que ha afectado principalmente a usuarios de Canadá y Estados Unidos. En concreto, ha llegado a ellos mediante búsquedas de los programas AnyDesk y MSI Afterburner.
Desde Guardio Labs y Trend Micro recomiendan a los usuarios no abusar de la confianza que se le da a Google y sus resultados de búsqueda promocionados mediante Google Ads. Asimismo, insisten en aplicar un nivel de protección más incisiva incluso para la acción más sencilla «como es buscar algo en Google», según ha trasladado Nati Tal.