En una táctica particularmente descarada, varios delincuentes se están haciendo pasar por páginas de inicio de sesión de Google Ads para engañar a los anunciantes para que proporcionen las credenciales de sus cuentas.
Los atacantes, originarios de geografías tan dispersas como América del Sur, Asia y Europa del Este, utilizan las cuentas comprometidas en tiempo real para comprar y distribuir publicidad maliciosa y malware a través de Google Ads.
La campaña de publicidad maliciosa “más atroz” jamás realizada
Los estafadores parecen tener éxito en muchos casos porque a sus anuncios se les permite mostrar un anuncios.google.com URL. Esto los hace prácticamente indistinguibles de los anuncios legítimos de Google, según investigadores de Malwarebytes, que recientemente detectaron la actividad maliciosa.
“Esta es la operación de publicidad maliciosa más atroz que jamás hayamos rastreado, que afecta al corazón del negocio de Google y probablemente afecta a miles de clientes en todo el mundo”, dijo Jerome Segura, investigador de Malwarebytes. escribió en una publicación de blog esta semana. “Reportamos nuevos incidentes las 24 horas del día y, sin embargo, seguimos identificando otros nuevos, incluso en el momento de la publicación”.
Anuncios de Google es una plataforma publicitaria que permite a empresas e individuos mostrar anuncios dirigidos en los resultados de búsqueda de Google, sitios web, aplicaciones móviles y otras propiedades en línea, según el comportamiento de búsqueda y los intereses de los usuarios. A menudo, los principales resultados de búsqueda están patrocinados, lo que significa que alguien pagó por esta alta visibilidad. Para contextualizar, la búsqueda de Google generó $175 mil millones de ingresos publicitarios en 2023.
Según Segura, recientemente ha habido una avalancha de anuncios falsos patrocinados por Google Ads dirigidos a empresas e individuos que buscan anunciarse en la Búsqueda de Google o desean conectarse a sus cuentas de Google Ads. Los anuncios parecen ser de Google y pretenden ayudar a las personas a crear una cuenta de Google Ads o iniciar sesión en una cuenta existente. Los usuarios que hacen clic en estos anuncios son dirigidos a una página de inicio falsa de Google Ads desde donde se les dirige a sitios externos diseñados específicamente para robar nombres de usuario y contraseñas de las cuentas de Google del anunciante.
Los atacantes utilizan la plataforma gratuita de creación de sitios web de Google, Google Sites, para alojar las páginas señuelo. Esta es una táctica que, según Segura, les permite eludir trivialmente una política de Google que permite a los anunciantes incluir una URL en sus anuncios sólo si la URL coincide con el nombre de dominio del anunciante. “Al observar el anuncio y la página de Google Sites, vemos que [the] malicioso [ads do] “No viola estrictamente la regla ya que sites.google.com usa los mismos dominios raíz que ads.google.com”, dijo Segura. “En otras palabras, se permite mostrar esta URL en el anuncio, lo que la hace indistinguible de el mismo anuncio publicado por Google LLC.”
Google investiga activamente los ciberataques
En un comentario enviado por correo electrónico, un portavoz de Google dijo que la compañía estaba “investigando activamente” el problema y trabajando para solucionarlo rápidamente. “Prohibimos específicamente los anuncios destinados a engañar a las personas para que roben su información o los estafen”, dijo el portavoz.
A modo de contexto, el portavoz destacó la creciente sofisticación y la escala de las campañas de publicidad maliciosa y los casos observados en los que los actores de amenazas crearon miles de cuentas maliciosas simultáneamente para difundir anuncios maliciosos en las propiedades de Google. Estos actores suelen utilizar técnicas como la manipulación de texto para eludir los mecanismos de detección automatizados. En otros casos, utilizan tácticas de encubrimiento para mostrar a los evaluadores y sistemas de Google anuncios diferentes a los que los usuarios terminan viendo. “Para dar una idea de la escala de nuestro esfuerzos de aplicación de la ley en 2023“Hemos eliminado más de 3.400 millones de anuncios, restringido más de 5.700 millones de anuncios y suspendido más de 5,6 millones de cuentas de anunciantes”, dijo el portavoz.
Suplantación de Google Ads: ingeniería social sencilla y eficaz
En sus comentarios sobre Dark Reading, Segura dice que la parte más notable de la nueva actividad maliciosa es la suplantación de la marca Google Ads combinando las URL de Google Sites con los anuncios. “Es un truco simple pero efectivo que hace que estos anuncios sean increíblemente difíciles de diferenciar de los reales”, dice Segura. Lo que complica las cosas es el hecho de que los delincuentes a menudo utilizan cuentas de Google Ads comprometidas para colocar aún más anuncios falsos en la Búsqueda de Google, lo que dificulta detener la actividad.
Google debería dificultar que los malos actores lleven a cabo tales planes de suplantación de identidad, afirma. “El ‘cómo’ es más complicado, porque implica revisar las prácticas comerciales existentes y… las políticas de seguridad”.
Segura dice que Malwarebytes rastrea e informa cada incidente de publicidad maliciosa que encuentra a través de una herramienta de seguimiento en vivo a la que puede acceder el equipo de Google Ads. “Esto ha demostrado ser una herramienta útil para nosotros, no sólo para facilitar el proceso de presentación de informes, sino también para mantener un historial”, señala. La respuesta de Google fue tomar medidas contra los anuncios marcados por Malwarebytes. “[But] Los actores de amenazas pueden contraatacar como si la campaña nunca se detuviera. Estamos hablando de decenas de cuentas quemadas pero aún hay suficientes para que esto continúe indefinidamente. »