Los investigadores de ciberseguridad han alertado sobre una nueva campaña de publicidad maliciosa que se dirige a personas y empresas que se anuncian a través de Google Ads e intentan obtener sus credenciales mediante anuncios fraudulentos en Google.
«El plan consiste en robar tantas cuentas de anunciantes como sea posible haciéndose pasar por Google Ads y redirigiendo a las víctimas a páginas de inicio de sesión falsas», dijo Jérôme Segura, director senior de inteligencia de amenazas de Malwarebytes, en un informe compartido con The Hacker News.
Se sospecha que el objetivo final de la campaña es reutilizar las credenciales robadas para perpetuar aún más las campañas, al mismo tiempo que se las vende a otros actores criminales en foros clandestinos. Según las publicaciones compartidas en Reddit , Bluesky y los propios foros de soporte de Google , la amenaza ha estado activa desde al menos mediados de noviembre de 2024.
El grupo de actividades es muy similar a las campañas que utilizan malware ladrón para robar datos relacionados con cuentas comerciales y publicitarias de Facebook con el fin de secuestrarlas y usar las cuentas para enviar campañas de publicidad maliciosa que propaguen aún más el malware.
La campaña recientemente identificada identifica específicamente a los usuarios que buscan anuncios de Google Ads en el propio motor de búsqueda de Google para mostrar anuncios falsos de Google Ads que, cuando se hace clic en ellos, redirigen a los usuarios a sitios fraudulentos alojados en Google Sites.
Estos sitios luego sirven como páginas de destino para llevar a los visitantes a sitios de phishing externos que están diseñados para capturar sus credenciales y códigos de autenticación de dos factores (2FA) a través de un WebSocket y exfiltrados a un servidor remoto bajo el control del atacante.
«Los anuncios falsos de Google Ads proceden de una variedad de personas y empresas (incluido un aeropuerto regional) en varias ubicaciones», dijo Segura. «Algunas de esas cuentas ya tenían cientos de otros anuncios legítimos en funcionamiento».
Un aspecto ingenioso de la campaña es que aprovecha el hecho de que Google Ads no requiere que la URL final (la página web a la que llegan los usuarios cuando hacen clic en el anuncio) sea la misma que la URL visible, siempre que los dominios coincidan.
Esto permite a los actores de amenazas alojar sus páginas de destino intermedias en sites.google[.]com mientras mantienen las URL visibles como ads.google[.]com. Además, el modus operandi implica el uso de técnicas como la identificación de huellas digitales, la detección de tráfico anti-bot, un señuelo inspirado en CAPTCHA, encubrimiento y ofuscación para ocultar la infraestructura de phishing.
Malwarebytes afirmó que las credenciales obtenidas se utilizan posteriormente para iniciar sesión en la cuenta de Google Ads de la víctima, agregar un nuevo administrador y utilizar sus presupuestos de gasto para anuncios falsos de Google.
En otras palabras, los actores de amenazas están tomando control de las cuentas de Google Ads para impulsar sus propios anuncios con el fin de agregar nuevas víctimas a un grupo creciente de cuentas pirateadas que se utilizan para perpetuar aún más la estafa.
«Parece que hay varios individuos o grupos detrás de estas campañas», dijo Segura. «Cabe destacar que la mayoría de ellos hablan portugués y probablemente operan desde Brasil. La infraestructura de phishing se basa en dominios intermediarios con el dominio de nivel superior (TLD) .pt, indicativo de Portugal».
«Esta actividad publicitaria maliciosa no viola las reglas publicitarias de Google . Los actores de amenazas pueden mostrar URL fraudulentas en sus anuncios, lo que los hace indistinguibles de los sitios legítimos. Google aún no ha demostrado que tome medidas definitivas para congelar dichas cuentas hasta que se restablezca su seguridad».
La revelación se produce cuando Trend Micro reveló que los atacantes están utilizando plataformas como YouTube y SoundCloud para distribuir enlaces a instaladores falsos de versiones pirateadas de software popular que en última instancia conducen a la implementación de varias familias de malware como Amadey, Lumma Stealer, Mars Stealer, Penguish, PrivateLoader y Vidar Stealer.
«Los actores de amenazas suelen utilizar servicios de alojamiento de archivos de confianza como Mediafire y Mega.nz para ocultar el origen de su malware y dificultar su detección y eliminación», afirmó la empresa . «Muchas descargas maliciosas están protegidas con contraseña y codificadas, lo que complica el análisis en entornos de seguridad como los sandboxes y permite que el malware eluda la detección temprana».
Fuente y redacción: thehackernews.com
