Malwarebytes advierte a los usuarios de Google sobre una nueva campaña de publicidad maliciosa que busca desviar a quienes navegan por sitios web populares hacia sitios web fraudulentos a través de anuncios maliciosos.
Las búsquedas de algunos de los sitios web más populares presentaron anuncios que parecían ser auténticos enlaces al sitio web solicitado, y algunos aparecían en la primera posición de la página de resultados.
Según los investigadores de Malwarebytes, los sitios web replicados por los actores de la amenaza incluyen YouTube, Amazon, Facebook y Walmart, y todos parecen enlazar con un sitio web de bloqueo del navegador en el que se ofrece a los usuarios advertencias falsas para que llamen al servicio de asistencia de Microsoft, o alertas falsas de Windows Defender.
El malvertising, o la práctica de ocultar malware en anuncios, es más común en sitios web con métodos más obvios, como la publicidad que ofrece a los usuarios productos gratuitos o premios en efectivo.
Los investigadores hicieron hincapié en lo sofisticado de la operación en este caso, proporcionando un ejemplo de un enlace de malvertising en Facebook que no presenta anomalías evidentes que puedan alertar a un usuario de su ilegitimidad.
Sin embargo, dado que el malvertising utiliza como plataforma Google Ads, sigue identificándose como un anuncio con la inscripción en negrita “Anuncio” en la esquina superior izquierda. Esto permite a los consumidores reconocer que no se trata de una conexión directa con el sitio web que estaban buscando, pero no expone su carácter malicioso.
Los investigadores también descubrieron que el método de redireccionamiento malicioso es lo suficientemente complicado como para que resulte difícil determinar hacia dónde dirigirá el anuncio a las víctimas potenciales mediante el análisis del HTML.
Cuando el usuario hace clic en el anuncio, la página a la que es enviado redirige al sitio web legítimo como “señuelo” o lanza un script secundario donde se encuentra la URL maliciosa.
A continuación, se carga en un marco en línea, que es un elemento HTML que carga una página dentro de otra. Esto reemplaza efectivamente la página con el elemento de estafa, pero el usuario no es redirigido por segunda vez.
La URL de la página maliciosa queda así enmascarada para el usuario, que sólo ve el nombre de host del “dominio encubierto”.com.
El hecho de que los anuncios aparezcan antes incluso de algunos de los sitios web más populares del mundo sugiere que los delincuentes están dispuestos a pagar dinero para llevar a cabo la estafa, lo que sería necesario para competir con búsquedas de tanta popularidad.
Además, los investigadores descubrieron que los delincuentes habían segregado los flujos de tráfico para evitar que el bloqueo de dominios, utilizando para ello una combinación de dominios premium y gratuitos. La infraestructura de malvertising parece haberse alojado tanto en servidores privados virtuales de pago como en proveedores de nube gratuitos (PaaS).
La página de ayuda de Google se refiere al tema del malware en la publicidad de esta forma: “La tecnología propia de Google y las herramientas de detección de malware se utilizan para escanear todas las creatividades de forma regular. Están estrictamente prohibidas las llamadas de cuarta parte o la subsindicación a anuncios o proveedores no certificados. Cualquier anuncio que distribuya malware se bloquea con el fin de proteger a los consumidores. Cualquier comprador autorizado cuya creatividad contenga malware se enfrenta a una suspensión de tres meses”.
Según Malwarebytes Labs, toda la información y antecedentes de su investigación han sido remitidos a Google.
