Buscas algo en Google, y el primer resultado, normalmente promocionado parece claramente el bueno. Y entonces haces clic en él. Y entonces te metes en un lío.
Es lo que llevan tiempo avisando los expertos en ciberseguridad de Malwarebytes, que primero detectaron el problema con falsos anuncios de la plataforma de videoconferencia Webex, y que luego han revelado que aquello solo era el principio de una nueva amenaza de ciberseguridad que ya tiene nombre: malvertising.
La técnica consiste en publicar falsos anuncios que suplantan la identidad de empresas y que logran colocar como el primer resultado gracias al funcionamiento de Google Ads.
Cuidado con ese resultado patrocinado. Puede llevarte a un sitio web que parece legítimo, pero que en realidad no lo es. Si quieres asegurarte, puedes hacer clic en los tres puntos verticales que aparecen a la derecha de la URL bajo el resultado.
Al hacerlo se puede comprobar la identidad del anunciante. En este caso se trata de Disney, así que el anuncio y el resultado son legítimos.
Según el análisis de estos expertos, hay servicios especializados que permiten que estos ataques tengan éxito y que sirvan para "infectar" a los usuarios con una nueva familia de malware llamada PikaBot que inició su actividad a principios de 2023.
Aunque inicialmente la distribución de Pikabot se realizaba mediante un mensaje de correo malicioso, ahora su distribución también se realiza mediante malvertising. Un investigador de ciberseguridad llamado Colin Cowie ya observó hace unos días este problema con los anuncios del software AnyDesk.
Las campañas de malvertising hacen que resultados de búsqueda promocionados teóricamente legítimos sean en realidad una potencial amenaza.
En Malware Bytes comprobaron rápidamente que el anunciante responsable de esa campaña no era AnyDesk, sino una identidad falsa llamada "Manca Marina". Aunque la URL que aparece bajo el resultado "https://www.anydesk.com" es la real, la URL a la que llevaba ese anuncio era otra muy distinta que eso sí, copiaba el diseño del sitio web oficial.
Todo parece correcto hasta que te fijas en esa URL. Algo no va bien.
Si uno no presta atención y pincha en el botón "Download Now" lo que hace es descargarse un malware a través de un instalador MSI que ni siquiera era detectado por VirusTotal según Malware Bytes. Estos expertos explicaban el complejo mecanismo para evitar la detección, y aunque es de esperar que esas descargas acaben siendo también detectadas por esa y otras plataformas antivirus, el verdadero problema está en Google Ads.
La firma explicaba cómo los ciberatacantes que hacen uso de estas técnicas han logrado superar los controles de seguridad de Google a través de una plataforma de marketing legítima que les permite redirigir los anuncios a dominios especiales —y peligrosos— a través de Cloudflare.
Estos incidentes ya han sido reportados a Google, pero como revelan en Malware Bytes, el malvertising se convierte así en un "potente vector de entrega [de malware] que no hace necesario que el usuario visite un sitio web comprometido. En lugar de eso, las amenazas se aprovechan de los motores de búsqueda y simplemente compran anuncios a los que saben que estarán expuestos sus objetivos".
Para esta empresa una buena solución es ofrecer aplicaciones solo "a través de repositorios de confianza", mientras que otros expertos en ciberseguridad como Will Dormann daban dos consejos. El primero, no hacer click nunca en un enlace de publicidad de Google Ads. El segundo, "usar un adblocker es buena higiene de seguridad. No hay nada de lo que sentirse culpable". En Xataka nos hemos puesto en contacto con Google pero la empresa ha declinado hacer comentarios.
Imagen | Engin Akyurt
En Xataka | El ordenador con más malware del mundo: así es MICE, el reto de Bernardo Quintero y VirusTotal
Ver 8 comentarios