Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google

Los usuarios del popular motor de búsqueda una vez más vuelven a ser el objetivo de una nueva campaña de publicidad maliciosa que se aprovecha de los anuncios de Google para ofrecer modificaciones de aplicaciones troyanizadas con la intención de propagar diferentes malware entre los que se encuentran Raccoon Stealer y Vidar.

Esta campaña hace uso de sitios web aparentemente legítimos usando la popular técnica de allanamiento de error tipográfico (typosquatting), los usuarios al realizar las búsquedas encuentran en la parte superior del navegador en forma de anuncios este tipo de contenido malicioso aprovechando el uso de palabras claves para el posicionamiento.

El medio final de todo esto, como ya se ha mencionado, es que el usuario acceda al sitio fraudulento y descargue la versión infectada de la aplicación.

La empresa de ciberseguridad Guardio Labs tras realizar una investigación destacó que, se observaron a actores de amenazas creando una red de sitios benignos que se promocionan en el motor de búsquedas de Google, al hacer clic en ellos, se activa la redirección al sitio fraudulento que redirige a los visitantes a una página de phishing que contiene un archivo ZIP troyanizado alojado en Dropbox o OneDrive.

«Cuando estos sitios fraudulentos ‘camuflados’ son visitados por los usuarios objetivos (los que realmente hacen clic en el resultado de búsqueda promocionado) el servidor los redirige inmediatamente al sitio falso y posteriormente al archivo malicioso».

Comentario del investigador Nati Tal

Actualmente, no se conoce la lista completa de software afectados, sin embargo se conoce que entre los programas suplantados descubiertos se encuentran AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack y Zoom.

Tras compartir los detalles de la campaña fue bautizada con el nombre de MasquerAds, atribuyendo gran parte de la actividad a un actor de amenazas al que se le sigue la pista bajo el nombre de Vermux, que está «abusando de una amplia lista de marcas y sigue evolucionando».

Más información:

• https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e
• https://es.wikipedia.org/wiki/Allanamiento_de_error_tipogr%C3%A1fico
• https://thehackernews.com/2022/12/new-malvertising-campaign-via-google.html

Acerca de Borja Aragón Jiménez

Borja Aragón Jiménez Ha escrito 27 publicaciones.

• View all posts by Borja Aragón Jiménez →
• Blog