Resumen:

Una nueva campaña maliciosa utiliza los anuncios de Google para desplegar malware.

 

Los investigadores advierten que la nueva amenaza hace uso de sitios web maliciosos con nombres de dominio aparentemente “legítimos” para ofrecer variantes troyanizadas que lanzan programas como Raccoon Stealer y Vidar malware.

 

Los anuncios suelen mostrarse en la parte superior de los resultados de búsqueda de Google, como resultado del secuestro de búsquedas de palabras clave específicas.

 

En un análisis realizado por el equipo de Guardio Labs, los investigadores observaron que los actores detrás de la operación crearon una red de sitios malignos que se promocionan en el motor de búsquedas.

 

Una vez que los usuarios hacen click en los ads, inmediatamente son redirigidos a una página de phishing.

 

Dicha página, contiene un archivo ZIP troyanizado que se aloja en OneDrive y en algunas ocasiones en Dropbox.

 

El archivo lanza la carga maliciosa para infectar el ordenador de la víctima.

 

Hasta ahora, se ha observado que entre los programas suplantados por estas páginas maliciosas se encuentran aplicaciones como AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack y Zoom, entre otros.

 

El equipo de investigación de Guardio Labs ha bautizado la campaña como MasquerAds y le atribuye la operación a los actores de la amenaza de Vermux.

 

Los investigadores señalan que el adversario está abusando de una amplia lista de organizaciones y constantemente actualizan sus herramientas para comprometer víctimas nuevas.

 

Además, todo parece indicar que, la operación de Vermux centra sus ataques en empresas de Estados Unidos, Canadá y América Latina.

 

Finalmente, en la última etapa del ataque, Vermux lanza mineros de criptomonedas junto con ladrones de información.

 

Es preciso destacar que, esta no es la primera vez que se aprovecha la plataforma de anuncios de Google para distribuir malware, sino una tendencia que va en aumento.

 

Pues, según la Oficina Federal de Investigación de Estados Unidos (FBI), los ciberdelincuentes están utilizando los servicios de publicidad de los motores de búsqueda para hacerse pasar por distintas marcas y dirigir a los usuarios a sitios maliciosos que alojan cargas de ransomware.

 

También, de acuerdo con Trend Micro, IcedID es otra familia de malware que distribuye Cobalt Strike con los anuncios de Google. 

 

Dada la creciente tendencia del uso de los adds maliciosos, se le insta a todas las organizaciones a navegar con mayor precaución dentro de la red.

 

Recomendaciones: 

Prácticas básicas para mitigar cualquier ataque de ciberseguridad 

Mantener los dispositivos actualizados 

Instalar los últimos parches disponibles 

Activar la autenticación multifactor 

Activar las reglas de firewall 

Guardar copias de seguridad 

 

Referencias:

https://themeghalayan.com/hackers-increase-abuse-of-google-ads-platform-to-target-users/

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-to-spread-malware-in-legit-software/

 

 

Folio 384