Anuncios de Google promocionan versiones con malware de programas como ChatGPT, Zoom y Cisco
A nadie le gustan los anuncios, eso es innegable. Sin embargo, aunque la mayoría de las veces son simplemente irritantes, también pueden ser muy peligrosos. Este es el caso de algunos anuncios de búsqueda de Google que engañan a los usuarios en busca de aplicaciones populares, haciéndolos descargar malware.
La forma en que funciona es la siguiente: los criminales de Internet pagan a Google para mostrar un anuncio en su herramienta de búsqueda, lo que hace que su enlace sea uno de los primeros resultados de búsqueda. Los usuarios, sin sospechar nada y creyendo que Google tiene algún mecanismo de filtrado, hacen clic en el anuncio sospechoso y son redirigidos a un sitio que normalmente no es peligroso, hasta que son redirigidos de nuevo a un clon del sitio oficial de la empresa que están buscando. Entonces, el usuario descarga un troyano pensando que es el producto legítimo. Este virus puede robar datos personales, instalar otros virus (incluyendo ransomware) o incluso tomar el control total de la computadora.
Este tipo de ataque es bastante simple y se ha vuelto cada vez más popular con el tiempo. Uno de los ejemplos más recientes es un virus llamado Bumblebee. Según los investigadores de SecureWorks, el cargador de virus, que solía distribuirse principalmente a través de enlaces de phishing, ahora se distribuye a través de los anuncios de Google con la ayuda de técnicas de "envenenamiento" de la optimización de motores de búsqueda (SEO). El envenenamiento por SEO implica que un delincuente llene un sitio web con palabras clave, enlaces falsos y contenido que lo hagan clasificarse en una posición mejor en los resultados de búsqueda que el sitio web legítimo. Aunque el envenenamiento por SEO y el abuso de Google Ads son complementarios, nuestro enfoque en este artículo será en este último.
Cuidado con Bumblebee
En una entrada reciente de su blog, SecureWorks ha informado que los delincuentes en línea han estado llenando los anuncios de Google con enlaces que redirigen a los usuarios para descargar nuevos softwares, como ChatGPT, y programas muy utilizados por personas que trabajan de forma remota, como Zoom, Cisco AnyConnect (un cliente VPN seguro de acceso remoto) y Citrix Workspace, otra aplicación popular destinada a home office. Cuando los usuarios acceden a los enlaces, terminan en páginas de descarga falsas donde descargan una versión del programa con virus.
En una campaña, SecureWorks observó que dos archivos estaban siendo instalados durante la instalación de Cisco: el instalador legítimo y un programa malicioso llamado PowerShell que contenía el virus Bumblebee. El script de PowerShell guardó el archivo en la memoria de la computadora sin ejecutarlo, lo que hace que sea mucho más difícil detectarlo por los antivirus.
Según SecureWorks, el objetivo final de los delincuentes era instalar un ransomware, un tipo de virus que bloquea toda la computadora o solo algunos archivos y exige un pago a cambio de la recuperación del acceso.
Google Ads: ¿refugio para los anuncios maliciosos?
Bumblebee es sólo un ejemplo de virus con potencial para propagarse rápidamente a través de anuncios hasta que Google tome medidas al respecto. El problema de los anuncios maliciosos de Google dista mucho de ser nuevo. De hecho, han estado plagados de este tipo de contenido durante años, incluidos los enlaces patrocinados que se ven en los motores de búsqueda. Con el auge del mercado de la publicidad en línea, Google simplemente no puede mantener un control total de los anuncios maliciosos que escapan a sus políticas. En 2013, la empresa dijo que había eliminado más de 350 millones de estos anuncios, desconectando más de 400.000 sitios web con virus ocultos y prohibiendo la entrada a 270.000 anunciantes sospechosos.
En 2022, las cifras eran mucho más elevadas: en su último informe de seguridad, Google afirmaba haber bloqueado más de 5,2 millones de anuncios "malos", eliminado 142 millones por infringir su política y suspendido 6,7 millones de cuentas de anunciantes.
A pesar de todos los esfuerzos de Google, la situación parece estar lejos de cambiar. Los expertos advierten de que el problema de los virus distribuidos a través de los anuncios de Google no mejora, sino empeora día a día.
Con el auge de este tipo de ataques, es difícil encontrar una aplicación o software popular que no haya sido utilizado como cebo. En los últimos meses, los delincuentes han utilizado anuncios para atraer a los usuarios a sitios web falsos que ofrecen productos como Slack, Grammarly, μTorrent, Malwarebytes y Microsoft Visual Studio. Otro reto es que, por mucho que utilices un antivirus para intentar evitar que se instale malware en tu ordenador, los delincuentes son cada vez mejores a la hora de evitar ser detectados por los antivirus.
Cómo protegerte
Como el simple uso de un antivirus no basta para protegerte de estos ataques, es necesario utilizar también otros métodos. El FBI, que también ha observado un aumento de los ataques de malware a través de anuncios de búsqueda, compartió recientemente algunos consejos sobre cómo protegerte. La agencia sugiere a los usuarios que tengan más cuidado con lo que descargan de Internet, que verifiquen la URL antes de hacer clic en cualquier anuncio y, aún mejor, que no utilicen Google y tecleen directamente en el navegador la URL del sitio que quieren visitar.
Sin duda, estos consejos funcionan muy bien, pero pueden no ser suficientes si tienes prisa o no prestas mucha atención. Además, los anunciantes malintencionados pueden confundirte ocultando la dirección IP real de un sitio web con una técnica conocida como "camuflaje de anuncios".
Otra forma de mantenerte a salvo, según el FBI, es utilizar un bloqueador de anuncios. Ya sea una extensión del navegador como AdGuard o una aplicación, esta parece ser la forma más eficaz de protegerte de esta amenaza. Con un bloqueador de anuncios, no es necesario verificar las URL, ya que es posible configurarlo para que no muestre ningún anuncio de búsqueda. En la extensión de navegador AdGuard, puedes hacerlo con un solo clic activando Bloquear anuncios de búsqueda y autopromoción de sitios web, desactivado de forma predeerminada.
Captura de pantalla: Extensión de navegador AdGuard
Además, algunos bloqueadores de anuncios, como AdGuard, te impedirán acceder a sitios maliciosos y de phishing.
