Los ataques a través de publicidades maliciosas se han convertido en una preocupante tendencia. Recientemente, una campaña de publicidad maliciosa en Google ha capturado la atención de expertos y usuarios por igual, apuntando específicamente a la población china.
La publicidad maliciosa, conocida también como "malvertising", es una técnica usada por ciberdelincuentes para diseminar software malicioso a través de anuncios en línea. Estos anuncios pueden aparecer en sitios web legítimos, incluyendo motores de búsqueda populares como Google. El objetivo es engañar a los usuarios para que hagan clic en estos anuncios, lo que puede resultar en la instalación de malware en sus dispositivos.
Conoce más sobre: ¿Qué es Malvertising?: Anuncios Maliciosos en Línea
Los usuarios de habla china están siendo objeto de anuncios maliciosos de Google relacionados con aplicaciones de mensajería restringida como Telegram, como parte de una campaña de publicidad engañosa en curso.
Se ha descubierto que un actor de amenazas está abusando de las cuentas de anunciantes de Google para crear anuncios maliciosos y dirigir a los usuarios a páginas web donde podrían descargar troyanos de acceso remoto (RAT) sin su conocimiento. Estos troyanos otorgan al atacante un control completo sobre la máquina de la víctima y la capacidad de introducir malware adicional.
Es importante destacar que esta actividad, conocida como FakeAPP, es una continuación de una serie previa de ataques dirigidos a usuarios de Hong Kong que estaban buscando aplicaciones de mensajería como WhatsApp y Telegram en motores de búsqueda a finales de octubre de 2023.
La última versión de esta campaña también ha incluido la aplicación de mensajería LINE en su lista de aplicaciones objetivo, redirigiendo a los usuarios a sitios web falsos alojados en Google Docs o Google Sites.
La infraestructura de Google se utiliza para insertar enlaces a otros sitios web bajo el control del actor de amenazas, con el propósito de entregar archivos de instalación maliciosos que, en última instancia, implementan troyanos como PlugX y Gh0st RAT.
Según un informe reciente, se ha rastreado los anuncios fraudulentos hasta dos cuentas de anunciantes, denominadas Interactive Communication Team Limited y Ringier Media Nigeria Limited, con sede en Nigeria.
Se ha observado que el actor de amenazas prioriza la cantidad sobre la calidad, ya que constantemente introduce nuevas cargas útiles e infraestructura de comando y control.
Este desarrollo se produce en medio de un aumento en el uso de una plataforma de phishing como servicio (PhaaS) llamada Greatness por parte de Trustwave SpiderLabs. Esta plataforma se utiliza para crear páginas de recopilación de credenciales con apariencia legítima dirigidas a usuarios de Microsoft 365.
Podria interesarte: ¿Qué es el Phishing as a Service (PaaS)?
El kit permite la personalización de nombres de remitentes, direcciones de correo electrónico, asuntos, mensajes, archivos adjuntos y códigos QR, con el fin de mejorar la relevancia y la participación en los ataques. Además, incluye medidas antidetección como encabezados aleatorios, codificación y ofuscación, diseñadas para burlar los sistemas de seguridad y los filtros de spam.
Este kit, conocido como Greatness, se pone a disposición de otros actores criminales a un costo de 120 dólares al mes, lo que reduce efectivamente las barreras de entrada y facilita la realización de ataques a gran escala.
Las cadenas de ataques implican el envío de correos electrónicos de phishing que contienen archivos adjuntos HTML maliciosos. Cuando los destinatarios abren estos archivos, son redirigidos a una página de inicio de sesión falsa que captura las credenciales de inicio de sesión ingresadas y las envía al actor de la amenaza a través de Telegram.
En algunos casos, se han utilizado los archivos adjuntos para introducir malware en la computadora de la víctima, lo que facilita el robo de información sensible.
Para aumentar la probabilidad de éxito de los ataques, los mensajes de correo electrónico falsifican fuentes confiables, como bancos o empleadores, y generan una falsa sensación de urgencia utilizando temas como "pagos urgentes de facturas" o "verificación urgente de cuenta requerida".
El alcance exacto de las víctimas es desconocido en este momento, pero Greatness es ampliamente utilizado y cuenta con un sólido soporte, incluyendo su propia comunidad en Telegram que brinda información sobre cómo utilizar el kit, además de ofrecer consejos y trucos adicionales.
Además, se han observado ataques de phishing dirigidos a empresas surcoreanas, en los que los atacantes se hacen pasar por empresas de tecnología como Kakao. Estos ataques utilizan señuelos para distribuir AsyncRAT a través de archivos maliciosos de acceso directo de Windows (LNK).
El Centro de Inteligencia de Seguridad de AhnLab (ASEC) ha señalado que estos archivos de acceso directo maliciosos se disfrazan como documentos legítimos, ya que la extensión ".LNK" no es visible en los nombres de archivo, lo que puede confundir a los usuarios al pensar que se trata de documentos normales.
Te podrá interesar: Descubriendo los canales en Telegram de la Dark Web
El reciente incidente de publicidad maliciosa en Google sirve como un recordatorio crucial de la constante evolución de las amenazas cibernéticas. La seguridad en línea es una responsabilidad compartida entre proveedores de servicios, empresas y usuarios. Mantenerse informado y tomar medidas proactivas es esencial para navegar de forma segura en el mundo digital.