{"id":1533607,"date":"2025-01-15T19:17:48","date_gmt":"2025-01-15T19:17:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/usuarios-de-google-ads-blanco-de-estafas-de-publicidad-maliciosa-que-roban-credenciales-y-codigos-2fa\/"},"modified":"2025-01-15T19:17:52","modified_gmt":"2025-01-15T19:17:52","slug":"usuarios-de-google-ads-blanco-de-estafas-de-publicidad-maliciosa-que-roban-credenciales-y-codigos-2fa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/usuarios-de-google-ads-blanco-de-estafas-de-publicidad-maliciosa-que-roban-credenciales-y-codigos-2fa\/","title":{"rendered":"Usuarios de Google Ads blanco de estafas de publicidad maliciosa que roban credenciales y c\u00f3digos 2FA"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Publicidad maliciosa\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Usuarios-de-Google-Ads-blanco-de-estafas-de-publicidad-maliciosa.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han alertado sobre una nueva campa\u00f1a de publicidad maliciosa dirigida a personas y empresas que anuncian a trav\u00e9s de Google Ads intentando obtener sus credenciales mediante anuncios fraudulentos en Google.<\/p>\n<p>&#8220;El esquema consiste en robar tantas cuentas de anunciantes como sea posible haci\u00e9ndose pasar por Google Ads y redirigiendo a las v\u00edctimas a p\u00e1ginas de inicio de sesi\u00f3n falsas&#8221;, explic\u00f3 J\u00e9r\u00f4me Segura, director senior de inteligencia de amenazas de Malwarebytes. <a rel=\"noopener nofollow\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2025\/01\/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Se sospecha que el objetivo final de la campa\u00f1a es reutilizar las credenciales robadas para perpetuar a\u00fan m\u00e1s las campa\u00f1as, y al mismo tiempo venderlas a otros actores criminales en foros clandestinos. Residencia en <a rel=\"noopener nofollow\" href=\"https:\/\/www.reddit.com\/r\/phishing\/comments\/1gt0rfd\/its_just_me_or_google_just_sponsored_a_link_to_a\/\" target=\"_blank\">publicaciones<\/a> <a rel=\"noopener nofollow\" href=\"https:\/\/www.reddit.com\/r\/Google_Ads\/comments\/1hxy8ib\/google_ads_phishing_scam\/\" target=\"_blank\">compartido<\/a> en <a rel=\"noopener nofollow\" href=\"https:\/\/www.reddit.com\/r\/google\/comments\/1hl2e28\/be_aware_of_fake_google_page_clicked_by_accident\/\" target=\"_blank\">Reddit<\/a>, <a rel=\"noopener nofollow\" href=\"https:\/\/bsky.app\/profile\/curiousjfu.bsky.social\/post\/3lfemjggs222m\" target=\"_blank\">cielo azul<\/a>y el propio Google <a rel=\"noopener nofollow\" href=\"https:\/\/support.google.com\/google-ads\/thread\/313042073\/help-with-removing-a-dangerous-scam-in-google-ads?hl=en\" target=\"_blank\">foros de soporte<\/a>la amenaza ha estado activa desde al menos mediados de noviembre de 2024. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El grupo de actividad es muy similar a las campa\u00f1as que aprovechan el malware ladr\u00f3n para robar datos relacionados con la publicidad de Facebook y las cuentas comerciales con el fin de secuestrarlas y utilizar las cuentas para campa\u00f1as de publicidad maliciosa que propaguen a\u00fan m\u00e1s el malware.<\/p>\n<p>La campa\u00f1a recientemente identificada se\u00f1ala espec\u00edficamente a los usuarios que buscan Google Ads en el propio motor de b\u00fasqueda de Google para publicar anuncios falsos de Google Ads que, cuando se hace clic en ellos, redirigen a los usuarios a sitios fraudulentos alojados en Google Sites.<\/p>\n<p>Luego, estos sitios sirven como p\u00e1ginas de destino para llevar a los visitantes a sitios de phishing externos que est\u00e1n dise\u00f1ados para capturar sus credenciales y c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) a trav\u00e9s de un WebSocket y exfiltrarlos a un servidor remoto bajo el control del atacante. <\/p>\n<p>&#8220;Los anuncios falsos de Google Ads provienen de una variedad de personas y empresas (incluido un aeropuerto regional), en varias ubicaciones&#8221;, dijo Segura. &#8220;Algunas de esas cuentas ya ten\u00edan cientos de otros anuncios leg\u00edtimos ejecut\u00e1ndose&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736968667_243_Usuarios-de-Google-Ads-blanco-de-estafas-de-publicidad-maliciosa.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736968667_243_Usuarios-de-Google-Ads-blanco-de-estafas-de-publicidad-maliciosa.png\" alt=\"Anuncios falsos de Google\" border=\"0\" data-original-height=\"1029\" data-original-width=\"2125\" title=\"Anuncios falsos de Google\"\/><\/a><\/div>\n<p>Un aspecto ingenioso de la campa\u00f1a es que aprovecha el hecho de que Google Ads <a rel=\"noopener nofollow\" href=\"https:\/\/support.google.com\/google-ads\/answer\/6273460?hl=en\" target=\"_blank\">no requiere<\/a> la URL final (la p\u00e1gina web a la que llegan los usuarios cuando hacen clic en el anuncio) debe ser la misma que la URL visible, siempre que los dominios coincidan.<\/p>\n<p>Esto permite a los actores de amenazas alojar sus p\u00e1ginas de destino intermedias en sites.google.[.]com manteniendo las URL visibles como ads.google[.]com. Es m\u00e1s, el modus operandi implica el uso de t\u00e9cnicas como huellas dactilares, detecci\u00f3n de tr\u00e1fico anti-bot, un se\u00f1uelo inspirado en CAPTCHA, encubrimiento y ofuscaci\u00f3n para ocultar la infraestructura de phishing.<\/p>\n<p>Malwarebytes dijo que posteriormente se abusa de las credenciales recopiladas para iniciar sesi\u00f3n en la cuenta de Google Ads de la v\u00edctima, agregar un nuevo administrador y utilizar sus presupuestos para anuncios falsos de Google.<\/p>\n<p>En otras palabras, los actores de amenazas se est\u00e1n apoderando de las cuentas de Google Ads para publicar sus propios anuncios con el fin de agregar nuevas v\u00edctimas a un grupo cada vez mayor de cuentas pirateadas que se utilizan para perpetuar a\u00fan m\u00e1s la estafa. <\/p>\n<p>&#8220;Parece haber varios individuos o grupos detr\u00e1s de estas campa\u00f1as&#8221;, dijo Segura. &#8220;En particular, la mayor\u00eda de ellos hablan portugu\u00e9s y probablemente operan desde Brasil. La infraestructura de phishing se basa en dominios intermediarios con el dominio de nivel superior (TLD) .pt, indicativo de Portugal&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Esta actividad publicitaria maliciosa no viola <a rel=\"noopener nofollow\" href=\"https:\/\/support.google.com\/adspolicy\/answer\/6020955\" target=\"_blank\">Las reglas publicitarias de Google<\/a>. A los actores de amenazas se les permite mostrar URL fraudulentas en sus anuncios, lo que los hace indistinguibles de los sitios leg\u00edtimos. Google a\u00fan tiene que demostrar que toma medidas definitivas para congelar dichas cuentas hasta que se restablezca su seguridad&#8221;.<\/p>\n<p>La revelaci\u00f3n se produce cuando Trend Micro revel\u00f3 que los atacantes est\u00e1n utilizando plataformas como YouTube y SoundCloud para distribuir enlaces a instaladores falsos de versiones pirateadas de software popular que, en \u00faltima instancia, conducen a la implementaci\u00f3n de varias familias de malware como Amadey, Lumma Stealer, Mars Stealer, Pennish. , PrivateLoader y Vidar Stealer.<\/p>\n<p>&#8220;Los actores de amenazas suelen utilizar servicios de alojamiento de archivos de buena reputaci\u00f3n como Mediafire y Mega.nz para ocultar el origen de su malware y dificultar la detecci\u00f3n y eliminaci\u00f3n&#8221;, dijo la empresa. <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/a\/how-cracks-and-installers-bring-malware-to-your-device.html\" target=\"_blank\">dicho<\/a>. &#8220;Muchas descargas maliciosas est\u00e1n protegidas y codificadas con contrase\u00f1a, lo que complica el an\u00e1lisis en entornos de seguridad como sandboxes y permite que el malware evada la detecci\u00f3n temprana&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/google-ads-users-targeted-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 de enero de 2025\ue804Ravie LakshmananPublicidad maliciosa\/malware Los investigadores de ciberseguridad han alertado sobre una nueva campa\u00f1a de<\/p>\n","protected":false},"author":1,"featured_media":1533608,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[88486,4657,4656,43282,4661,1016,782,4664,42020,43422,8666,201033,11113,4654,201031,4659,4653,4655,9994,8347,246983,255454,246984,201032,7528,246982,4660],"class_list":["post-1533607","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-2fa","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ads","tag-ataques-ciberneticos","tag-blanco","tag-codigos","tag-como-hackear","tag-credenciales","tag-estafas","tag-google","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosa","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-publicidad","tag-roban","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-usuarios","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1533607","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1533607"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1533607\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1533608"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1533607"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1533607"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1533607"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}