Los estafadores están abusando de Google Adwords, la plataforma publicitaria del gigante de los motores de búsqueda, para propagar malware a las personas que buscan software legítimo y popular.
Las medidas de seguridad de Google suelen ser sólidas, pero los expertos descubrieron que lograron emplear una solución alternativa.
La campaña es simple: los delincuentes clonarían software popular como Grammarly, MSI Afterburner, Slack u otros, y los infectarían con un ladrón de información. En este caso, los atacantes agregaron Raccoon Stealer y el cargador de malware IceID. Luego, crearían una página de destino donde se enviaría a las víctimas a descargar los programas maliciosos. Estas páginas fueron diseñadas para verse aparentemente idénticas a las legítimas.
engañar a google
Luego, crearían un anuncio y lo colocarían en Google Adwords. De esa forma, siempre que alguien busque estos programas u otras palabras clave relevantes, verá los anuncios en varios lugares (incluidas las primeras posiciones en la página de resultados del motor de búsqueda de Google).
El truco es que el algoritmo de Google es relativamente bueno para detectar páginas de destino maliciosas que alojan software peligroso. Para eludir las medidas de seguridad, los atacantes también crearían una página de destino benigna a la que el anuncio enviaría a los visitantes.
Esa página de destino redirigiría inmediatamente a las víctimas a la maliciosa.
Las campañas de ataques cibernéticos que aprovechan el software legítimo para distribuir malware no son nada nuevo, pero los investigadores en su mayoría han estado a oscuras en lo que respecta a los métodos para llevar a las personas a las páginas de destino. A fines de octubre, los investigadores descubrieron una campaña importante con más de 200 dominios fraudulentos, pero hasta el día de hoy, nadie sabía cómo se publicitaban los dominios.
Ahora que se ha descubierto el complot, se puede esperar que Google finalice rápidamente la campaña (si no lo ha hecho ya).
Además de las aplicaciones mencionadas anteriormente, los delincuentes también se hacían pasar por (se abre en una pestaña nueva) estos programas: Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird y Brave.
Vía: BleepingComputer (se abre en una pestaña nueva)