Estafadores digitales han desplegado una nueva campaña maliciosa que se aprovecha de Google Ads para promocionar sitios web falsos o clonados, mediante los cuales propagan distintos tipos de ‘malware’ como Raccoon Stealer y Vidar una vez las han descargado el supuesto software legítimo en sus dispositivos.
En esta campaña, que se ha mantenido activa durante este mes de diciembre, se han visto implicados programas como Grammarly, Microsoft Visual Estudio, Thunderbird, OBS, Teamviewer, Slack y Zoom. Concretamente, los estafadores han desplegado una serie de anuncios en Google Ads de páginas web de descarga de ‘software’ presuntamente legítimas, pero falsificadas.
En este sentido, conviene recordar que Google Ads permite a los anunciantes promocionar sus páginas web en la Búsqueda de Google y las coloca en los primeros lugares de la lista de resultados. De ahí que, una vez clonados estos sitios web, los usuarios que no dispongan de un bloqueador encontrarán en primer lugar estos anuncios.
En caso de que Google detecte que el destino de una campaña son sitios web falsos o maliciosos, la bloquea y elimina los anuncios. Por ese motivo, los ciberdelincuentes han desarrollado una estrategia para evadir este sistema de seguridad.
Lobo con piel de cordero
Tal y como informan desde Guardio Labs y Trend Micro, los estafadores han utilizado un truco para levar a las víctimas que hacen clic en el anuncio a un sitio benigno creado por ellos y, a continuación, a los sitios web falsos.
De ahí que utilicen inicialmente webs con nombres muy similares como cebo. Es el caso de la aplicaicón de gramática y ortografía Grammarly, de la que se han encontrado páginas clonadas como ‘grammartly’ o ‘gramnarly’.
Una vez el usuario ha accedido a estas páginas, los ciberdelincuentes atacan de distintas maneras. En primer lugar, los ciberdelincuentes ofrecen el ‘software’ legítimo con el ‘malware’ integrado, que se ejecuta en segundo plano cuando se descarga un determinado programa.
Sigue leyendo: Ciberdelincuentes clonan páginas web de software legítimo y las promocionan mediante Google Ads para desplegar malware
