Últimamente, hemos visto cómo los cibercriminales se vuelven cada vez más ingeniosos, encontrando nuevas formas de engañar a los usuarios en línea. Un caso reciente y preocupante involucra anuncios de Google que llevan a un sitio falso de Google Authenticator, con el objetivo de instalar malware "DeerStealer" en los dispositivos de quienes confían en ellos.
En los últimos años, hemos observado un aumento preocupante en las campañas de publicidad maliciosa, conocidas como malvertising, que se dirigen específicamente a la plataforma de búsqueda de Google. Estas campañas son estrategias de cibercriminales que colocan anuncios engañosos que imitan sitios web de software legítimo, con el objetivo de instalar malware en los dispositivos de los usuarios que visitan dichos sitios.
Una de las tácticas más preocupantes de estas campañas es la capacidad de los atacantes para crear anuncios de búsqueda en Google que aparentan ser completamente legítimos. Al mostrar dominios auténticos como "google.com" o "https://www.google.com" en los enlaces de los anuncios, los cibercriminales logran generar una falsa sensación de seguridad y confianza en los usuarios. Esto es particularmente alarmante porque estos elementos deberían ser un indicador claro de autenticidad, pero en este caso, se utilizan para engañar y manipular.
Un ejemplo reciente de este tipo de malvertising fue descubierto por la empresa de ciberseguridad Malwarebytes. En esta campaña, los actores de amenazas crearon anuncios que promovían una versión falsa de Google Authenticator, una aplicación muy utilizada para la autenticación de dos factores. Al buscar "Google Authenticator" en Google, los usuarios eran recibidos con anuncios que parecían legítimos, mostrando URLs como "google.com". Este detalle hacía que el anuncio pareciera aún más confiable, llevando a muchos usuarios a hacer clic sin sospechar que estaban siendo dirigidos a un sitio web malicioso.
Lo más desconcertante de esta situación es que el uso de URLs como "google.com" por parte de terceros en anuncios de búsqueda no debería ser posible, ya que esto va en contra de las políticas de publicidad de Google. Sin embargo, los cibercriminales parecen haber encontrado una manera de burlar estas medidas de seguridad, lo que subraya la necesidad de una vigilancia constante y mejoras en las prácticas de seguridad publicitaria.
Hemos observado que la táctica de enmascaramiento de URLs es una estrategia común y efectiva en campañas de publicidad maliciosa. Esta técnica ha sido utilizada en campañas dirigidas a usuarios de aplicaciones como KeePass, Arc browser, YouTube y Amazon. Sin embargo, Google aún enfrenta desafíos para detectar estos anuncios fraudulentos en su plataforma. Se ha señalado que la identidad de los anunciantes suele estar verificada por Google, lo que indica una vulnerabilidad en su sistema publicitario que los actores maliciosos explotan.
En cuanto a cómo estos actores malintencionados logran publicar anuncios haciéndose pasar por empresas legítimas, Google explicó que los atacantes evaden la detección mediante la creación de miles de cuentas simultáneamente y el uso de técnicas de manipulación de texto y encubrimiento. Esto permite que los revisores y sistemas automatizados vean sitios web diferentes a los que se muestran a los usuarios habituales.
A pesar de estos desafíos, Google está ampliando sus esfuerzos para detectar y eliminar estas campañas maliciosas, aumentando tanto la capacidad de sus sistemas automatizados como el número de revisores humanos. Gracias a estos esfuerzos, en 2023, la empresa logró eliminar 3.400 millones de anuncios, restringir más de 5.700 millones de anuncios y suspender más de 5.6 millones de cuentas de anunciantes.
Podría interesarte leer: ¿Qué es el Malvertising y Cómo Identificarlo?
Los usuarios que hacen clic en anuncios falsos de Google Authenticator son redirigidos a una serie de páginas antes de llegar a una página de destino denominada "chromeweb-authenticators.com". Este sitio web se presenta como un portal legítimo de Google, engañando a los visitantes para que confíen en él.
También se ha observado una campaña de malvertising que incluye sitios web fraudulentos con dominios que imitan nombres de servicios legítimos, como "authenticcator-descktop[.]com", "chromstore-authentificator[.]com" y "authentificator-gogle[.]com". Estos sitios están diseñados para parecer auténticos, lo que aumenta la probabilidad de que los usuarios caigan en la trampa.
Al hacer clic en el botón "Descargar autenticador" en estos sitios, se descarga un archivo ejecutable llamado "Authenticator.exe". Aunque este archivo está firmado digitalmente para parecer legítimo, en realidad contiene malware y está alojado en un repositorio de GitHub. El repositorio, denominado "authgg", y los usuarios que lo gestionan, con nombres como "authe-gogle", están diseñados para parecer relacionados con Google y sus servicios de autenticación.
El uso de GitHub para alojar este malware es especialmente preocupante, ya que GitHub es una plataforma ampliamente confiable y utilizada en la comunidad de desarrolladores. La firma digital del ejecutable puede engañar a los sistemas de seguridad menos rigurosos, permitiendo que el malware se instale en los dispositivos de las víctimas sin levantar sospechas.
Conoce más sobre: Detecta si estás en un Sitio Web Pirateado
La seguridad en línea es una responsabilidad compartida entre los proveedores de servicios y los usuarios. Mientras los gigantes tecnológicos como Google trabajan para mejorar la seguridad de sus plataformas, los usuarios también deben ser conscientes y proactivos. Evitar hacer clic en anuncios y verificar cuidadosamente las URLs son pasos sencillos pero efectivos para protegerse contra amenazas como los sitios falsos de Google Authenticator que instalan malware.
Además, para una protección más robusta, las organizaciones y los usuarios pueden considerar el uso de tecnologías avanzadas de detección y respuesta extendida (XDR). Nuestro TecnetProtect, ofrece capacidades de XDR para proporcionar una visión integral de las amenazas al combinar y analizar datos de múltiples puntos de entrada, como redes, endpoints y correos electrónicos. Esta solución ayuda a detectar y responder rápidamente a incidentes de seguridad, proporcionando una defensa más completa contra las amenazas cibernéticas. Mantente informado, mantente seguro y nunca bajes la guardia cuando se trata de proteger tu información personal en línea.