Google ha sido víctima de su propia plataforma publicitaria, lo que permite a los actores de amenazas crear anuncios falsos de Google Authenticator que promocionan el malware DeerStealer, que roba información.
Durante años, las campañas de publicidad maliciosa (malvertising) se han dirigido a la plataforma de búsqueda de Google, donde los actores de amenazas colocan anuncios para hacerse pasar por sitios de software conocidos que instalan malware en los dispositivos de los visitantes.
Para empeorar las cosas, los actores de amenazas han podido crear anuncios de búsqueda de Google que muestran dominios legítimos, lo que agrega una sensación de confianza al anuncio.
En una nueva campaña de malvertising descubierta por Malwarebytes, los actores de amenazas crearon anuncios que muestran un anuncio de Google Authenticator cuando los usuarios buscan el software en la búsqueda de Google.
Lo que hace que el anuncio sea más convincente es que muestra “google.com” y “https://www.google.com” como la URL de clic, lo que claramente no debería permitirse cuando un tercero crea el anuncio.
Hemos visto esta estrategia de encubrimiento de URL muy eficaz en campañas de publicidad maliciosa anteriores, incluidas las de KeePass, el navegador Arc, YouTube y Amazon. Aun así, Google sigue sin detectar cuándo se crean estos anuncios impostores.
Malwarebytes señaló que Google verifica la identidad del anunciante, lo que muestra otra debilidad en la plataforma publicitaria de la que abusan los actores de amenazas.
Cuando se contactó a Google sobre esta campaña de publicidad maliciosa, le dijo a BleepingComputer que bloquearon al anunciante falso informado por Malwarebytes.
Cuando se le preguntó cómo los actores de amenazas pueden eliminar anuncios que se hacen pasar por empresas legítimas, Google dijo que los actores de amenazas están evadiendo la detección creando miles de cuentas simultáneamente y utilizando la manipulación de texto y el encubrimiento para mostrar a los revisores y sistemas automatizados sitios web diferentes a los que vería un visitante normal.
Sin embargo, la empresa está aumentando la escala de sus sistemas automatizados y revisores humanos para ayudar a detectar y eliminar estas campañas maliciosas. Estos esfuerzos les permitieron eliminar 3.400 millones de anuncios, restringir más de 5.700 millones de anuncios y suspender más de 5.6 millones de cuentas de anunciantes en 2023.
Al hacer clic en los anuncios falsos de Google Authenticator, el visitante pasa por una serie de redirecciones a la página de destino en “chromeweb-authenticators.com”, que se hace pasar por un portal genuino de Google.
Al hacer clic en el botón “Descargar autenticador” en los sitios falsos, se activa la descarga de un ejecutable firmado llamado “Authenticator.exe” [VirusTotal] alojado en GitHub.
El repositorio de GitHub que aloja el malware se llama “authgg” y los propietarios del repositorio son “authe-gogle”, ambos nombres similares a los asociados con el tema de la campaña.
Info – Ciberseguridad Latam