
Los investigadores de ciberseguridad han alertado sobre una nueva campaña de publicidad maliciosa dirigida a personas y empresas que anuncian a través de Google Ads intentando obtener sus credenciales mediante anuncios fraudulentos en Google.
“El esquema consiste en robar tantas cuentas de anunciantes como sea posible haciéndose pasar por Google Ads y redirigiendo a las víctimas a páginas de inicio de sesión falsas”, explicó Jérôme Segura, director senior de inteligencia de amenazas de Malwarebytes. dicho en un informe compartido con The Hacker News.
Se sospecha que el objetivo final de la campaña es reutilizar las credenciales robadas para perpetuar aún más las campañas, y al mismo tiempo venderlas a otros actores criminales en foros clandestinos. Residencia en publicaciones compartido en Reddit, cielo azuly el propio Google foros de soportela amenaza ha estado activa desde al menos mediados de noviembre de 2024.
El grupo de actividad es muy similar a las campañas que aprovechan el malware ladrón para robar datos relacionados con la publicidad de Facebook y las cuentas comerciales con el fin de secuestrarlas y utilizar las cuentas para campañas de publicidad maliciosa que propaguen aún más el malware.
La campaña recientemente identificada señala específicamente a los usuarios que buscan Google Ads en el propio motor de búsqueda de Google para publicar anuncios falsos de Google Ads que, cuando se hace clic en ellos, redirigen a los usuarios a sitios fraudulentos alojados en Google Sites.
Luego, estos sitios sirven como páginas de destino para llevar a los visitantes a sitios de phishing externos que están diseñados para capturar sus credenciales y códigos de autenticación de dos factores (2FA) a través de un WebSocket y exfiltrarlos a un servidor remoto bajo el control del atacante.
“Los anuncios falsos de Google Ads provienen de una variedad de personas y empresas (incluido un aeropuerto regional), en varias ubicaciones”, dijo Segura. “Algunas de esas cuentas ya tenían cientos de otros anuncios legítimos ejecutándose”.
Un aspecto ingenioso de la campaña es que aprovecha el hecho de que Google Ads no requiere la URL final (la página web a la que llegan los usuarios cuando hacen clic en el anuncio) debe ser la misma que la URL visible, siempre que los dominios coincidan.
Esto permite a los actores de amenazas alojar sus páginas de destino intermedias en sites.google.[.]com manteniendo las URL visibles como ads.google[.]com. Es más, el modus operandi implica el uso de técnicas como huellas dactilares, detección de tráfico anti-bot, un señuelo inspirado en CAPTCHA, encubrimiento y ofuscación para ocultar la infraestructura de phishing.
Malwarebytes dijo que posteriormente se abusa de las credenciales recopiladas para iniciar sesión en la cuenta de Google Ads de la víctima, agregar un nuevo administrador y utilizar sus presupuestos para anuncios falsos de Google.
En otras palabras, los actores de amenazas se están apoderando de las cuentas de Google Ads para publicar sus propios anuncios con el fin de agregar nuevas víctimas a un grupo cada vez mayor de cuentas pirateadas que se utilizan para perpetuar aún más la estafa.
“Parece haber varios individuos o grupos detrás de estas campañas”, dijo Segura. “En particular, la mayoría de ellos hablan portugués y probablemente operan desde Brasil. La infraestructura de phishing se basa en dominios intermediarios con el dominio de nivel superior (TLD) .pt, indicativo de Portugal”.
“Esta actividad publicitaria maliciosa no viola Las reglas publicitarias de Google. A los actores de amenazas se les permite mostrar URL fraudulentas en sus anuncios, lo que los hace indistinguibles de los sitios legítimos. Google aún tiene que demostrar que toma medidas definitivas para congelar dichas cuentas hasta que se restablezca su seguridad”.
La revelación se produce cuando Trend Micro reveló que los atacantes están utilizando plataformas como YouTube y SoundCloud para distribuir enlaces a instaladores falsos de versiones pirateadas de software popular que, en última instancia, conducen a la implementación de varias familias de malware como Amadey, Lumma Stealer, Mars Stealer, Pennish. , PrivateLoader y Vidar Stealer.
“Los actores de amenazas suelen utilizar servicios de alojamiento de archivos de buena reputación como Mediafire y Mega.nz para ocultar el origen de su malware y dificultar la detección y eliminación”, dijo la empresa. dicho. “Muchas descargas maliciosas están protegidas y codificadas con contraseña, lo que complica el análisis en entornos de seguridad como sandboxes y permite que el malware evada la detección temprana”.






