El pasado 20 de diciembre publicamos una noticia en la que pusimos el foco sobre el 'malvertising', una ciberamenaza que se propaga a través de anuncios maliciosos que se hacen pasar por marcas conocidas y aparecen en los primeros resultados de los motores de búsqueda.
Según informamos, tal y como advertían los investigadores de Malwarebytes, los ciberdelincuentes estaban difundiendo el malware PikaBot, detectado a principios de 2023 y que hasta entonces solo se distribuía en campañas de malspam, a través de anuncios falsos que habían conseguido colocar como el primer resultado de Google gracias al funcionamiento de Google Ads, que además acreditaba haber verificado la identidad del anunciante. Éste era presuntamente la aplicación remota AnyDesk y la URL que incluía el resultado era la verdadera (https://www.anydesk.com). Sin embargo, los investigadores comprobaron que el anunciante se escondía bajo el seudónimo de "Manca Marina" y que la URL redirigía a los usuarios a una web que imitaba la legítima de AnyDesk y supuestamente ofrecía descargar la aplicación, pero que en realidad daba acceso al malware PikaBot a través de un instalador MSI (Microsoft Windows Installer).
Ahora queremos informar sobre una nueva campaña de malvertising en la que los hackers han vuelto a engañar a Google para que publique un anuncio que suplanta a una marca. En este caso, nada más y nada menos que a Facebook.
La campaña de malvertising en Google que suplanta a Facebook
Justin Poliachik, ingeniero de software, ha dado la voz de alarma sobre esta campaña en un vídeo publicado en TikTok en el que la descubre grabándose a sí mismo delante del ordenador y mostrando una captura de la pantalla. Así, se ve que introduce Facebook en el motor de búsqueda de Google y que el primer resultado que obtiene es un anuncio promocionado de Facebook junto a una URL que supuestamente es la oficial de la red social para iniciar sesión o registrarse, pero que en realidad es una página de phishing.
@j_poli Never trust a Promoted Link from Google
♬ original sound - Justin Poli
¿Cómo es posible que Google permita que se publiquen anuncios que redirijan a sitios de phishing? Esta fue la primera pregunta que se planteó Poliachik, que si bien admite no es un experto en malvertising, trata de responderla. Según señala, básicamente es por dos razones, que cualquiera puede pagar para que un anuncio aparezca en la parte superior de los resultados de búsqueda y que existe una manera para engañar a los rastreadores de Google, una técnica llamada "encubrimiento" que abordaremos más adelante.
"Si los rastreadores de Google visitan su sitio, son redireccionados a Facebook, por lo que Google piensa, oye, está bien, esto es legítimo. Pero luego, si llega algún usuario normal, son redirigidos al sitio de phishing", explica Poliachik, que presupone que normalmente estos anuncios no duran mucho porque "suelen ser caros y la gente los denuncia".
"Ante esto, no hay una gran solución. Quizá Google simplemente necesite utilizar más inteligencia artificial y comprobar los links más a menudo", comenta el desarrollador, que termina recomendando utilizar un bloqueador de anuncios y no confiar en un anuncio promocionado, ya que podría enviarte a una web de phishing, "hasta que Google resuelva esto por completo".
Este vídeo está teniendo una gran repercusión, llegando a acumular más de 13.000 reproducciones en tan solo dos días. Tampoco ha sido pasado por alto por MalwareLabs, que corroboró que esta campaña seguía activa, a pesar de habérsela reportado a Google, y que ha arrojado más luz sobre esta ciberamenaza.
El malvertising utiliza la técnica del "encubrimiento"
Tal y como indica MalwareLabs, estos ataques de publicidad maliciosa en realidad no son nuevos, si bien el daño que causan a los usuarios aumenta cada día. "No hay una sola manera de detenerlos a todos, pero es de esperar que las denuncias públicas dejen claro que esto debe abordarse al igual que otros tipos de fraude o malware".
Según los investigadores, todo lo que necesitan los actores maliciosos para poner en marcha estas campañas es que sean capaces de distinguir a los humanos reales de los robots o rastreadores para así poder eludir las medidas de seguridad de Google. Para ello, recurren a una técnica conocida como "encubrimiento" ('cloaking' en inglés), que también puede utilizarse con fines legítimos y que permite detectar a humanos reales a partir de una serie de factores (como dirección IP o huellas digitales del ordenador), así como usar un servicio de seguimiento para analizar el tráfico de una web, recopilar datos, etc.
"En definitiva, estos servicios son útiles en sí mismos, pero los actores maliciosos también pueden abusar de ellos fácilmente. Dentro del ecosistema publicitario de Google, los anunciantes colocarán su URL como plantilla de seguimiento y el resto se manejará fuera de Google". "Los ciberdelincuentes también abusarán del servicio de seguimiento de clics. Todo lo que tienen que hacer es redirigir a otro dominio 'legítimo' que controlen y desde allí decidir la URL de destino final".
A ojos de los rastreadores esta URL será ser legítima, mientras que para los usuarios reales supondrá el acceso a una web de phishing, como ocurre en el comentado caso de malvertising de Facebook.
¿Cómo se puede poner fin a estos ataques de publicidad maliciosa?
En contraposición a Justin Poliachik, los investigadores de MalwareBytes no creen que la inteligencia artificial pueda acabar con el malvertising, "al menos durante un tiempo".
Para ellos, Google debería ser capaz de diferenciar a un afiliado legítimo frente a un atacante valiéndose de la información que solicita a los anunciantes, como el perfil del usuario, el método de pago, el presupuesto y, más importante, del anuncio en sí, en el que podría verificar aspectos como la URL personalizada, el texto mostrado, la plantilla de seguimiento, la URL final y lo que sucede al hacer clic en el anuncio. "¿Realmente se redirige a la URL que aparece en el anuncio? Esta es una característica que parece muy fácil de explotar y, sin embargo, sigue sin corregirse".
"Hemos visto estos anuncios maliciosos durante años y años. Sería injusto decir que nunca se ha tomado ninguna medida, pero hay margen de mejora. Las denuncias individuales de las víctimas no siempre se procesan basándose en nuestra experiencia y la de otros. Esto es frustrante porque parece como si esas experiencias individuales no importaran en el esquema más amplio de las cosas", apunta.
Recomendaciones para evitar esta ciberamenaza
Finalmente, desde MalwareBytes instan a los usuarios a tener cuidado con los resultados patrocinados de Google y otros buscadores, y a aprender a reconocer las páginas web fraudulentas. Además, les recomiendan bloquear totalmente los anuncios y utilizar su extensión Guard, disponible para diferentes navegadores.