Virus en la publicidad: delincuentes disfrazan malware en Google Ads

Es innegable el incremento de ciberataques en el último par de años, y las estrategias de los delincuentes siguen adaptando sus habilidades a entornos menos sospechosos y poder acceder a datos privilegiados de nuestras cuentas o dispositivos. Ahora, es la plataforma publicitaria de Google la que es el centro de las alertas.

La firma de ciberseguridad ESET ha detectado en el sudeste asiático una modalidad de estafa basada en campañas fraudulentas de Google Ads que distribuyen el troyano FatalRAT en los equipos que dan clic a ciertos anuncios.

En reporte compartido en Twitter desde la cuenta de investigaciones de ESET destaca objetivos distribuidos a lo largo de esta zona del mundo, enfocándose en China, Taiwán, Hong Kong, Malasia, Japón, Filipinas, Tailandia, Singapur, Indonesia y Birmania.

 “Los atacantes desconocidos crearon sitios web falsos que parecen idénticos a los de aplicaciones populares como Firefox, WhatsApp o Telegram; pero, además de proporcionar el software legítimo, también entregan FatalRAT, un troyano de acceso remoto que otorga al atacante el control de la computadora víctima”, resalta ESET en el informe.

Tras la publicación de este hallazgo, los anuncios fueron eliminados en el sistema Google Ads.

Malware a través de Google Ads

De acuerdo con la investigación, los atacantes aprovechan el sistema Google Ads para aparecer en el buscador como un resultado destacado cuando los usuarios buscan aplicaciones populares y sus instaladores.

Además de los mencionados previamente, ESET señala que Google Chrome, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao y WPS Office son las marcas con mayor recurrencia en las búsquedas.

El reporte sostiene que las URLs usadas por los delincuentes contienen algunos errores ortográficos intencionales para “parecerse” a los dominios legítimos para entregar un archivo instalador con el malware FatalRAT, un troyano de acceso remoto documentado desde agosto del 2021.

Una vez instalado, este código malicioso logra control total de la computadora infectada e incluye la ejecución de comandos y archivos, así como la recopilación de datos desde navegadores y la captura de todo lo que escribimos en el teclado.

“Es posible que los atacantes estén únicamente interesados en el robo de información como credenciales web para venderlas en foros clandestinos o usarlas para otro tipo de campaña de software delictivo”, aclara ESET, “pero por ahora la atribución específica de esta campaña a un actor de amenazas conocido o nuevo es imposible”.