Google continúa luchando contra los ciberdelincuentes que publican anuncios maliciosos en su plataforma de búsqueda para engañar a las personas para que descarguen copias con trampas explosivas de populares aplicaciones de software gratuitas. Los anuncios maliciosos, que aparecen encima de los resultados de búsqueda orgánicos y a menudo preceden a enlaces a fuentes legítimas del mismo software, pueden hacer que la búsqueda de software en Google sea una cuestión arriesgada.
Google dice que mantener a los usuarios seguros es una prioridad absoluta y que la compañía tiene un equipo de miles de personas trabajando las 24 horas del día para crear y hacer cumplir sus políticas de abuso. Y según la mayoría de las cuentas, la amenaza de anuncios malos que conducen a software con puerta trasera ha disminuido significativamente en comparación con hace un año.
Pero los ciberdelincuentes están constantemente descubriendo formas ingeniosas de pasar desapercibidos en el radar anti-abuso de Google, y todavía son demasiado comunes nuevos ejemplos de anuncios malos que conducen a malware.
Por ejemplo, una búsqueda en Google a principios de esta semana del programa gratuito de diseño gráfico FreeCAD produjo el siguiente resultado, que muestra que un anuncio “patrocinado” en la parte superior de los resultados de búsqueda anuncia el software disponible en freecad-us[.]org. Aunque este sitio web afirma ser el sitio web oficial de FreeCAD, ese honor pertenece al resultado que aparece directamente debajo: el legítimo freecad.org.
¿Cómo sabemos freecad-us?[.]org es malicioso? Una revisión en DominioTools.com mostrar que este dominio es el más nuevo (registrado el 19 de enero de 2024) de más de 200 dominios en la dirección de Internet 93.190.143[.]252 que son confusamente similares a títulos de software populares, incluidos proyecto-dashlane[.]com, filezillasoft[.]com, encargado de mantenimiento[.]comy proyecto libreoffice[.]com.
Algunos de los dominios de este host holandés parecen ser poco más que sitios web de reseñas de software que roban contenido de fuentes de información establecidas en el mundo de TI, incluyendo Gartner, Mundo PC, Barra y punto y TecnologíaRadar.
Otros dominios al 93.190.143[.]252 sirven descargas de software reales, pero es probable que ninguno de ellos sea malicioso si uno visita los sitios a través de navegación directa. si uno visita proyecto openai[.]organización y descarga una copia de la popular aplicación de administración de escritorio de Windows Pluviómetropor ejemplo, el archivo que se descarga tiene exactamente la misma firma de archivo que el instalador real de Rainmeter disponible en rainmeter.net.
Pero esto es sólo una artimaña, dice. Tom Hegelinvestigador principal de amenazas en la empresa de seguridad centinela uno. Hegel ha estado rastreando estos dominios maliciosos durante más de un año, y dijo que los sitios de descarga de software aparentemente benignos periódicamente se volverán malvados, intercambiando copias legítimas de títulos de software populares con versiones con puerta trasera que permitirán a los ciberdelincuentes controlar los sistemas de forma remota.
“Están utilizando la automatización para extraer contenido falso, y están rotando dentro y fuera del alojamiento de malware”, dijo Hegel, señalando que las descargas maliciosas sólo pueden ofrecerse a visitantes que provienen de ubicaciones geográficas específicas, como Estados Unidos. . “En las campañas publicitarias maliciosas que hemos visto vinculadas a este grupo, esperaban hasta que los dominios obtuvieran legitimidad en los motores de búsqueda, luego pasaban la página durante aproximadamente un día y luego regresaban”.
En febrero de 2023, Hegel fue coautor de un informe sobre esta misma red, que Sentinel One ha denominado MalVirt (un juego de palabras con “publicidad maliciosa”). Llegaron a la conclusión de que el aumento de anuncios maliciosos que suplantaban diversos productos de software era directamente responsable del aumento de las infecciones de malware procedentes de troyanos ladrones de información como ID helado, Ladrón de líneas rojas, Libro de formularios y AuroraStealer.
Hegel señaló que el aumento en los anuncios con temas de software malicioso se produjo poco después de que Microsoft comenzara a bloquear de forma predeterminada las macros de Office en los documentos descargados de Internet. Dijo que el volumen de las actuales campañas publicitarias maliciosas de este grupo parece ser relativamente bajo en comparación con hace un año.
“Parece que continúa la misma campaña”, dijo Hegel. “En enero pasado, cada búsqueda en Google de ‘Autocad’ conducía a algo malo. Ahora, es como si estuvieran pagando a Google para obtener una de cada docena de búsquedas. Supongo que todavía continúa debido a los altibajos. [of the] dominios que alojan malware y luego parecen legítimos”.
Varios de los sitios web de este host holandés (93.190.143[.]252) están actualmente bloqueados por la tecnología Safebrowsing de Google y etiquetados con una llamativa advertencia roja que dice que el sitio web intentará imponer malware a los visitantes que ignoren la advertencia y continúen.
Pero sigue siendo un misterio por qué Google no ha bloqueado de manera similar más de 240 dominios en este mismo host, o los ha eliminado por completo de su índice de búsqueda. Especialmente considerando que no hay nada más que estos dominios alojados en esa dirección IP de los Países Bajos y porque todos permanecieron en esa dirección durante el año pasado.
En respuesta a las preguntas de KrebsOnSecurity, Google dijo que mantener un ecosistema de anuncios seguro y mantener el malware fuera de sus plataformas es una prioridad en todo Google.
“Los malos actores a menudo emplean medidas sofisticadas para ocultar sus identidades y evadir nuestras políticas y cumplimiento, a veces mostrando a Google una cosa y a los usuarios otra”, dijo Google en una declaración escrita. “Revisamos los anuncios en cuestión, eliminamos aquellos que violaban nuestras políticas y suspendimos las cuentas asociadas. Continuaremos monitoreando y aplicando nuestras protecciones”.
Google dice que eliminó 5.200 millones de anuncios en 2022, restringió más de 4.300 millones de anuncios y suspendió más de 6,7 millones de cuentas de anunciantes. El último informe de seguridad publicitaria de la compañía dice que Google bloqueó o eliminó 1.360 millones de anuncios en 2022 por violar sus políticas de abuso.
Algunos de los dominios a los que se hace referencia en esta historia se incluyeron en el informe de Sentinel One de febrero de 2023, pero desde entonces se han agregado docenas más, como los que falsifican los sitios de descarga oficiales para dibujo de corel, Escritorio Github, Roboformo y Visor de equipo.
Este informe de octubre de 2023 en el foro de usuarios de FreeCAD provino de un usuario que informó haber descargado una copia del software de freecadsoft.[.]com después de ver el sitio promocionado en la parte superior de un resultado de búsqueda de Google para “freecad”. Casi un mes después, otro usuario de FreeCAD informó haber sido atacado por la misma estafa.
“Esto me atrapó”, escribió el usuario del foro FreeCAD “Matterform” el 19 de noviembre de 2023. “Por favor, deje un informe en Google para que pueda marcarlo. Le pagaron a Google por publicaciones patrocinadas”.
El informe de Sentinel One no profundizó en el “quién” detrás de esta campaña MalVirt en curso, y hay muy pocas pistas que apunten a su atribución. Todos los dominios en cuestión fueron registrados a través de webnic.ccy varios de ellos muestran una página de marcador de posición que indica que el sitio está listo para recibir contenido. Al ver el código fuente HTML de estas páginas de marcador de posición, muchos de los comentarios ocultos en el código están en cirílico.
Intentar rastrear a los delincuentes utilizando las herramientas de transparencia publicitaria de Google no condujo muy lejos. El registro de transparencia del anuncio malicioso que presenta freecad-us[.]org (en la captura de pantalla anterior) muestra que la cuenta publicitaria utilizada para pagar el anuncio solo ha publicado un anuncio anterior a través de la búsqueda de Google: anunciaba un sitio web de fotografía de bodas en Nueva Zelanda.
El aparente propietario de ese sitio web de fotografía no respondió a las solicitudes de comentarios, pero también es probable que su cuenta de publicidad de Google haya sido pirateada y utilizada para publicar estos anuncios maliciosos.
