Cibercriminales clonan páginas web legítimas de ‘software’ y las promocionan para desplegar ‘malware’
Ciberdelincuentes han desplegado una nueva campaña maliciosa que se aprovecha de Google Ads para promocionar páginas web de 'software' clonadas para infectar dispositivos.
- El comercio 'online' se prepara para una temporada llena de ciberataques
- Especial Ciberataques
- El cambio cultural cimenta la nueva lucha corporativa contra los ciberataques
- El panorama de ciberataques impacta en la salud mental de los responsables de respuesta a incidentes
- El 97% de las empresas consideran que son propensas a los ciberataques
Son numerosos los informes que avalan que el mes de diciembre es crítico en materia de ciberataques. De hecho, según un informe reciente de Darktrace, compañía especializada en defensa cibernética, durante el período correspondiente a las vacaciones navideñas ha habido un aumento del 30% en la cantidad promedio de ataques de ransomware en comparación con el promedio mensual. Si bien los diferentes atacantes usan diferentes técnicas, la ingeniería social, el phishing, el spear-phishing, el malware y el ransomware son los más frecuentes. Muestra de ello es que el pasado mes de diciembre un grupo de ciberdelincuentes desplegó una campaña maliciosa aprovechándose de Google Ads para promocionar páginas web de software clonadas, mediante las cuales implementan distintos tipos de malware como Raccoon Stealer y Vidar una vez las han descargado en sus dispositivos.
En la citada campaña, activa a lo largo del mes de diciembre, se han visto implicados programas como Grammarly, Microsoft Visual Estudio, Thunderbird, OBS, Teamviewer, Slack y Zoom. Así lo recoge Europa Press citando al director de Guardio Labs, Nati Tal, tras la elaboración de un informe conjunto con Trend Micro.
Modus operandi
Tal y como recoge el pliego, los estafadores han desplegado una serie de anuncios de páginas web de descarga de software aparentemente legítimas, aunque falsificadas. En este sentido, conviene recordar que Google Ads permite a los anunciantes promocionar sus páginas web en el metabuscador que las coloca en los primeros lugares de la lista de resultados, facilitando su acceso. En caso de que Google detecte que el sitio de destino de una campaña es malicioso, la bloquea y elimina los anuncios. Sin embargo, los atacantes han logrado la manera de sortear las penalizaciones del gigante estadounidense.
Según han informado Guardio Labs y Trend Micro, los estafadores han utilizado un truco para conseguir que los usuarios sean redirigidos a una web maliciosa. La clave está en emplear webs con nombres muy similares a los originales a modo de cebo como en el caso de la aplicación de gramática y ortografía Grammarly, de la que se han encontrado páginas clonadas como 'grammartly' o 'gramnarly'.
Una vez han accedido a la página web falsa, los ciberatacantes proceden de diferentes formas. En primer lugar, ofrecen el software legítimo con el malware integrado que se ejecuta en un segundo plano cuando se descarga un determinado programa. Por otro lado emplean también carpetas ZIP con archivos inflados para que el cómputo total sea más grande que el tamaño máximo permitido de los sistemas de análisis de malware automatizado. Asimismo, consiguen que menos del 1% del código de estos sea el que contenga fragmentos de código malicioso, por lo que este software pasa desapercibido.
