Imágenes Miragec/Getty
Google ha sido sorprendido albergando un anuncio malicioso tan convincente que existe una buena posibilidad de que haya logrado engañar a algunos de los usuarios más conocedores de la seguridad que lo encontraron.
Malwarebytes
Al mirar el anuncio, que se hace pasar por una propuesta para el administrador de contraseñas de código abierto Keepass, no hay forma de saber que es falso. Después de todo, está en Google, que afirma examinar los anuncios que publica. Para hacer que el truco sea aún más convincente, al hacer clic en él se accede a ķeepass.[.]información, que, cuando se ve en una barra de direcciones, parece ser el sitio genuino de Keepass.
Malwarebytes
Sin embargo, una mirada más cercana al enlace muestra que el sitio está no el genuino. De hecho, ķeepass[.]info, al menos cuando aparece en la barra de direcciones, es solo una forma codificada de indicar xn--eepass-vbb[.]info, que resulta que está impulsando una familia de malware rastreada como FakeBat. Combinar el anuncio en Google con un sitio web con una URL casi idéntica crea una tormenta de engaño casi perfecta.
«Los usuarios son engañados primero a través del anuncio de Google que parece completamente legítimo y luego nuevamente a través de un dominio similar», escribió Jérôme Segura, jefe de inteligencia de amenazas del proveedor de seguridad Malwarebytes, en una publicación el miércoles que reveló la estafa.
La información del Centro de transparencia de anuncios de Google muestra que los anuncios se han estado publicando desde el sábado y aparecieron por última vez el miércoles. Los anuncios fueron pagados por una empresa llamada Digital Eagle, que según la página de transparencia es un anunciante cuya identidad ha sido verificada por Google.
Malwarebytes
Los representantes de Google no respondieron de inmediato a un correo electrónico, que fue enviado fuera del horario laboral. En el pasado, la compañía ha dicho que elimina los anuncios fraudulentos tan pronto como sea posible después de ser denunciados.
El juego de manos que permitió el sitio impostor xn--eepass-vbb[.]información para que aparezca como ķeepass[.]info es un esquema de codificación conocido como punycode. Permite representar caracteres Unicode en texto ASCII estándar. Si se observa con atención, es fácil detectar la pequeña figura parecida a una coma inmediatamente debajo de la k. Cuando aparece en una barra de direcciones, es igualmente fácil pasar por alto la cifra, especialmente cuando la URL está respaldada por un certificado TLS válido, como es el caso aquí.
Las estafas de malware mejoradas con Punycode tienen una larga historia. Hace dos años, los estafadores utilizaron anuncios de Google para dirigir a las personas a un sitio que parecía casi idéntico a valiente.com, pero que, en realidad, era otro sitio web malicioso que promocionaba una versión falsa y maliciosa del navegador. La técnica punycode llamó la atención por primera vez en 2017, cuando un desarrollador de aplicaciones web creó un sitio de prueba de concepto que se hacía pasar por apple.com.
No existe una forma segura de detectar anuncios maliciosos de Google ni URL codificadas en punycode. Publicación de eepass[.]La información en los cinco navegadores principales conduce al sitio impostor. En caso de duda, las personas pueden abrir una nueva pestaña del navegador y escribir manualmente la URL, pero eso no siempre es factible cuando son largas. Otra opción es inspeccionar el certificado TLS para asegurarse de que pertenece al sitio que se muestra en la barra de direcciones.