Buscar en Google descargas de software popular siempre ha conllevado riesgos,
pero en los últimos meses ha sido francamente peligroso, según varias
investigaciones. «Los investigadores de amenazas están acostumbrados a ver un flujo moderado
de publicidad maliciosa a través de Google Ads»,
escribieron el jueves los voluntarios de Spamhaus.
Dado el enorme tamaño de la audiencia a la que pueden llegar los actores de
amenazas a través de la publicidad maliciosa, esperamos que el malware
continúe distribuyéndose utilizando este método. No es difícil encontrar
evidencia anecdótica de que la publicidad maliciosa de Google está fuera de
control. Las búsquedas que buscan descargas de software son probablemente las
que tienen más probabilidades de mostrar publicidad maliciosa. Tomemos, por
ejemplo, los resultados que Google arroja para la búsqueda
«visual studio download»:
Al hacer clic en ese enlace patrocinado por Google, redirecciona a
downloadstudio[.]net, que VirusTotal marca como malicioso.
Como respuesta al bloqueo de Microsoft de las macros de Office de forma predeterminada en documentos de Internet, los actores de amenazas han recurrido a métodos alternativos de distribución de malware; más recientemente, la publicidad maliciosa.
Como respuesta al bloqueo de Microsoft de las macros de Office de forma predeterminada en documentos de Internet, los actores de amenazas han recurrido a métodos alternativos de distribución de malware; más recientemente, la publicidad maliciosa.
AuroraStealer,
IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook y XLoader. En el pasado,
estas familias solían recurrir al phishing y al spam que adjuntaban documentos
de Microsoft Word con macros trampa. Durante el último tiempo, Google Ads se
ha convertido en el lugar al que acuden los delincuentes para difundir sus
productos maliciosos disfrazados de descargas legítimas haciéndose pasar por
marcas como Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor y
Thunderbird.
El mismo día en que Spamhaus publicó su informe, investigadores de la firma de
seguridad
Sentinel One documentaron
una campaña avanzada de publicidad maliciosa de Google que impulsaba múltiples
cargadores maliciosos implementados en .NET. Los actores de amenazas utilizan XLoader para robar
datos de contactos y otra información confidencial de dispositivos infectados. Investigaciones anteriores de Checkpoint proporcionan información detallada sobre cómo XLoader en particular implementa esta técnica.
Por ejemplo,
una búsqueda en Google
a principios de esta semana del programa gratuito de diseño gráfico FreeCAD
produjo el siguiente resultado, que muestra que un anuncio «patrocinado» en la
parte superior de los resultados de búsqueda anuncia el software disponible en
freecad-us[.]org. Aunque este sitio web afirma ser el sitio web oficial
de FreeCAD, ese honor pertenece al resultado que aparece directamente debajo:
el legítimo freecad.org.
¿Cómo sabemos que freecad-us[.]org es malicioso? Una revisión
en DomainTools.com muestra que este dominio es el más nuevo (registrado el 19
de enero de 2024) de más de 200 dominios en la dirección de Internet
93.190.143[.]252 que son confusamente similares a títulos de software
populares, incluido
dashlane-project[.]com, filezillasoft[.]com, keepermanager[.]com y
libreofficeproject[.]com.
El experto en dominios del Proyecto Spamhaus, Carel Bitter, cuestionó por qué
Google Ads aprobaba anuncios vinculados a nuevos dominios. En toda la
industria de la seguridad, el uso inmediato de dominios recién registrados se
asocia con actividades de alto riesgo. Hasta que Google diseñe nuevas
defensas, los dominios señuelo y otras técnicas de ofuscación seguirán siendo
una forma efectiva de ocultar los verdaderos servidores
Fuente:
Arstechnica
|
KrebsOnSecurity
Los comentarios están cerrados.