El FBI advierte que los actores de amenazas están utilizando anuncios de motores de búsqueda para promocionar sitios web que distribuyen ransomware o roban credenciales de inicio de sesión para instituciones financieras e intercambios de cifrado.
En el anuncio de servicio público de hoy, la agencia federal de aplicación de la ley dijo que los actores de amenazas compran anuncios que se hacen pasar por empresas o servicios legítimos. Estos anuncios aparecen en la parte superior de las páginas de resultados de búsqueda y se vinculan a sitios que parecen idénticos al sitio web de la empresa suplantada.
«Cuando un usuario busca ese negocio o servicio, estos anuncios aparecen en la parte superior de los resultados de búsqueda con una distinción mínima entre un anuncio y un resultado de búsqueda real», advierte el FBI.
«Estos anuncios se vinculan a una página web que se ve idéntica a la página web oficial de la empresa suplantada».
Al buscar software, el FBI dice que los anuncios se vincularán a sitios web con un enlace de descarga al software con el nombre de la aplicación suplantada.
El aviso del FBI también advierte sobre anuncios que promocionan sitios de phishing que imitan plataformas financieras y, más específicamente, plataformas de intercambio de criptomonedas que invitan a los visitantes a ingresar sus credenciales de cuenta.
Una vez que se ingresan las credenciales en estos sitios de phishing, los actores de amenazas las roban y las usan para robar fondos o venderlas a otros actores de amenazas.
BleepingComputer recientemente ayudó a revelar una campaña masiva de typosquatting utilizando más de 200 sitios web que se hacen pasar por proyectos de software, intercambios de criptomonedas y plataformas de billetera para impulsar el malware de Windows y Android.
A principios de año, un sitio que se hacía pasar por el editor de imágenes GIMP usó publicidad maliciosa para dejar caer al ladrón de información Vidar sobre sus desprevenidos visitantes.
Si bien estos anuncios parecían estar promocionando el sitio web real gimp.org, como se muestra a continuación, redirigían a los usuarios a un sitio diferente que propagaba malware.
En otro caso de marzo de 2022, los operadores del ladrón de Marte abusaron de Google Ads para promocionar un sitio malicioso similar a Open Office para distribuir su malware.
Más recientemente, SANS ISC reveló una campaña de publicidad maliciosa de AnyDesk en la Búsqueda de Google que eliminó el malware IcedID en lugar de la popular aplicación de escritorio remoto.
Cómo protegerse
La precaución más crucial al buscar algo en línea es no hacer clic en lo primero que aparece en los resultados de búsqueda sin verificar su URL.
Como los primeros resultados de un término de búsqueda determinado suelen ser anuncios promocionados, es más seguro omitirlos y desplazarse hacia abajo hasta que vea el resultado de búsqueda del sitio web oficial del proyecto y utilizarlo en su lugar.
«Si bien los anuncios de los motores de búsqueda no son de naturaleza maliciosa, es importante tener cuidado al acceder a una página web a través de un enlace anunciado», advierte el FBI.
Además, incluso verificar el enlace solo puede ayudar algunas veces, ya que los actores de amenazas pueden crear anuncios para mostrar una URL legítima pero redirigir a los usuarios a sitios clonados bajo el control del atacante.
Otra recomendación es usar bloqueadores de anuncios, que filtran los resultados promocionados en la Búsqueda de Google.
Si visita un sitio web con frecuencia, sería mejor marcar su URL y usarla para acceder a él en lugar de buscarlo cada vez.
Fuente y redacción: bleepingcomputer.com
