Búsqueda en Google continúa luchando con los ciberdelincuentes que publican anuncios maliciosos en su plataforma de búsqueda para engañar a las personas para que descarguen copias con trampas explosivas de aplicaciones populares de software gratuito. Los anuncios maliciosos, que aparecen encima de los resultados de búsqueda orgánicos y, a menudo, preceden a los enlaces a fuentes legítimas del mismo software, pueden hacer que la búsqueda de software en Google sea un asunto arriesgado.
Google dice que mantener a los usuarios seguros es una prioridad máxima, y que la compañía tiene un equipo de miles trabajando día y noche para crear y hacer cumplir sus políticas de abuso. Y según la mayoría de las cuentas, la amenaza de los malos anuncios que conducen a software obsoleto ha disminuido significativamente comparado con hace un año.
Pero los ciberdelincuentes están constantemente descubriendo formas ingeniosas de volar por debajo del radar antiabuso de Google, y los nuevos ejemplos de malos anuncios que conducen a malware siguen siendo demasiado comunes.
Por ejemplo, una búsqueda en Google a principios de esta semana del programa gratuito de diseño gráfico FreeCAD produjo el siguiente resultado, que muestra que un anuncio "Patrocinado" en la parte superior de los resultados de búsqueda anuncia el software disponible en freecad-us[.] org. Aunque este sitio web afirma ser el sitio web oficial de FreeCAD, ese honor pertenece al resultado directamente debajo: el legítimo freecad.org.
¿Cómo conocemos freecad-us[.] ¿org es malicioso? Una reseña en DomainTools.com mostrar este dominio es el más nuevo (registrado ene. 19, 2024) de más de 200 dominios en la dirección de Internet 93.190.143[.]252 que son confusamente similares a los títulos de software populares, incluidos dashlane-proyecto[.] com, filezillasoft[.] com, administrador de mantenimiento[.] com, y proyecto libreoffice[.] com.
Algunos de los dominios en este host de los Países Bajos parecen ser poco más que sitios web de revisión de software que roban contenido de fuentes de información establecidas en el mundo de las TI, que incluyen Gartner, PCWorld, Slashdot y TechRadar.
Otros dominios en 93.190.143[.]252 sirven descargas de software reales, pero es probable que ninguna de ellas sea maliciosa si uno visita los sitios a través de la navegación directa. Si uno visita proyecto openai [.] org y descarga una copia de la popular aplicación de administración de escritorio de Windows Medidor de lluvia, por ejemplo, el archivo que se descarga tiene exactamente la misma firma de archivo que el instalador real de Rainmeter disponible en rainmeter.com.
Pero esto es solo una artimaña, dice Tom Hegel, investigador principal de amenazas de la firma de seguridad Sentinel Uno. Hegel ha estado rastreando estos dominios maliciosos durante más de un año, y dijo que los sitios de descarga de software aparentemente benignos se volverán malvados periódicamente, intercambiando copias legítimas de títulos de software populares con versiones ocultas que permitirán a los ciberdelincuentes controlar los sistemas de forma remota.
"Están utilizando la automatización para incorporar contenido falso, y están rotando dentro y fuera del malware de alojamiento", dijo Hegel, señalando que las descargas maliciosas solo pueden ofrecerse a visitantes que provienen de ubicaciones geográficas específicas, como los Estados Unidos. "En las campañas publicitarias maliciosas que hemos visto vinculadas a este grupo, esperaban hasta que los dominios ganaran legitimidad en los motores de búsqueda, y luego volteaban la página durante un día más o menos y luego volvían.”
En febrero de 2023, Hegel coautor de un informe en esta misma red, que Sentinel One ha denominado MalVirt (una obra de teatro sobre "publicidad maliciosa"). Llegaron a la conclusión de que el aumento de anuncios maliciosos que suplantaban varios productos de software era directamente responsable del aumento de infecciones de malware de troyanos infostealer como Icedido, Ladrón de Líneas Rojas, Libro de Formularios y AuroraStealer.
Hegel señaló que el aumento en los anuncios con temas de software malicioso se produjo poco después de que Microsoft comenzó a bloquear macros de Office de forma predeterminada en documentos descargados de Internet. Dijo que el volumen de las campañas publicitarias maliciosas actuales de este grupo parece ser relativamente bajo en comparación con hace un año.
"Parece que continúa la misma campaña", dijo Hegel. "En enero pasado, cada búsqueda en Google de 'Autocad' conducía a algo malo. Ahora, es como si estuvieran pagando a Google para obtener una de cada doce búsquedas. Supongo que aún continúa debido a los altibajos [de los] dominios que alojan malware y luego parecen legítimos.”
Varios de los sitios web de este host Holandés (93.190.143[.] 252) están actualmente bloqueados por la tecnología Safebrowsing de Google y etiquetados con una advertencia roja visible que dice que el sitio web intentará imponer malware a los visitantes que ignoren la advertencia y continúen.
Pero sigue siendo un misterio por qué Google no ha bloqueado de manera similar más de los otros 240 dominios en este mismo host, o los ha eliminado por completo de su índice de búsqueda. Especialmente considerando que no hay nada más que estos dominios alojados en esa dirección IP de los Países Bajos, y porque todos han permanecido en esa dirección durante el último año.
En respuesta a las preguntas de KrebsOnSecurity, Google dijo que mantener un ecosistema de anuncios seguros y mantener el malware fuera de sus plataformas es una prioridad en Google.
"Los malos actores a menudo emplean medidas sofisticadas para ocultar sus identidades y evadir nuestras políticas y cumplimiento, a veces mostrando a Google una cosa y a los usuarios otra cosa", dijo Google en una declaración escrita. "Hemos revisado los anuncios en cuestión, eliminado aquellos que violaban nuestras políticas y suspendido las cuentas asociadas. Continuaremos monitoreando y aplicando nuestras protecciones.”
Google dice que eliminó 5.200 millones de anuncios en 2022, restringió más de 4.300 millones de anuncios y suspendió más de 6.7 millones de cuentas de anunciantes. La compañía último informe de seguridad de anuncios dice que Google en 2022 bloqueó o eliminó 1.360 millones de anuncios por violar sus políticas de abuso.
Algunos de los dominios a los que se hace referencia en esta historia se incluyeron en el informe de Sentinel One de febrero de 2023, pero desde entonces se han agregado docenas más, como los que falsifican los sitios de descarga oficiales de Sorteo de Corel, Escritorio Github, Roboform y Teamviewer.
Este informe de octubre de 2023 en el foro de usuarios de FreeCAD vino un usuario que informó haber descargado una copia del software de freecadsoft[.] com después de ver el sitio promocionado en la parte superior de un resultado de búsqueda de Google para " freecad."Casi un mes después, otro usuario de FreeCAD informó haber sido picado por la misma estafa.
"Esto me atrapó", escribió el usuario del foro de FreeCAD "Matterform" el nov. 19, 2023. "Por favor, deje un informe con Google para que pueda marcarlo. Pagaron a Google por publicaciones patrocinadas.”
El informe de Sentinel One no profundizó en el "quién" detrás de esta campaña de MalVirt en curso, y hay pocas pistas valiosas que apuntan a la atribución. Todos los dominios en cuestión fueron registrados a través de webnic.cc, y varios de ellos muestran una página de marcador de posición que dice que el sitio está listo para el contenido. Al ver el código fuente HTML de estas páginas de marcador de posición, se muestra que muchos de los comentarios ocultos en el código están en cirílico.
Tratar de rastrear a los delincuentes utilizando las herramientas de transparencia publicitaria de Google no llevó muy lejos. El registro de transparencia publicitaria del anuncio malicioso que presenta freecad-us[.] org (en la captura de pantalla anterior) muestra que la cuenta publicitaria utilizada para pagar el anuncio solo ha publicado un anuncio anterior a través de la búsqueda de Google: Anunciaba un sitio web de fotografía de bodas en Nueva Zelanda.
El aparente propietario de ese sitio web de fotografía no respondió a las solicitudes de comentarios, pero también es probable que su cuenta publicitaria de Google haya sido pirateada y utilizada para publicar estos anuncios maliciosos.