Una campaña maliciosa fue desplegada por ciberdelincuentes donde se aprovechaban de Google Ads para promocionar páginas webs de 'software' clonadas.
Los ciberdelincuentes pusieron en práctica distintos tipos de ‘malware’ como Racoon Stealer y Vidar una vez que las descargaban en sus dispositivos.
Según informó el director de Guardio Labs, Nati Tal, empresa que realizó un informe junto a Trend Micro, la campaña estuvo activa durante el mes de diciembre.
Programas como Grammarly, Microsoft Visual Estudio, Thunderbird, OBS, Teamviewer, Slack y Zoom, estuvieron afectados por el ‘modus operandi’ de estos ciberestafadores.
Entre otras cosas, los estafadores desplegaron una serie de anuncios de páginas web de descarga de ‘software’ presuntamente legítimas, pero falsificadas.
En este caso, habrá que recordar que Google Ads permite a los anunciantes publicitar sus páginas web en la Búsqueda de Google, dónde las colocará en los primeros lugares de la lista de resultados.
Una vez clonados estos sitios webs, quienes no dispongan de un bloqueador encontrarán en primer lugar estos anuncios.
En caso de que Google detecte que el sitio de destino de una campaña es malicioso, lo bloqueará y lo eliminará de los anuncios.
Por lo tanto, los ciberdelincuentes elaboraron una estrategia para evadir el sistema de seguridad.
Desde Guardio Labs y Trend Micro, los estafadores recurrieron a un truco para llevar a las víctimas que hacen clic en el anuncio a un sitio benigno creado por ellos y, a continuación, a la web maliciosa clonada.
Una vez que el usuario accedían a estas páginas, los ciberdelincuentes atacaban de distintas maneras:
Con esto, consiguieron que menos de 1% del código de estos sean los que contengan fragmentos de código malicioso, por lo que este 'software' pasa desapercibido.
Según los informes, uno de los agentes maliciosos localizado es Vidar, un troyano orientado a la GPU de los dispositivos infectados, que afectaron a usuarios de Canadá y los Estados Unidos.
Especialmente, llegaron a ellos a través de búsquedas de los programas AnyDesk y MSI Afterburner.
Guardio Labs y Trend Micro recomendaron que los usuarios no deberán fiarse de la confianza que da Google.
Según comentó Nati Tal, insistieron en poner en práctica un nivel de protección más incisivo incluso para la acción más sencilla "como es buscar algo en Google".