Buscar descargas de software mediante una búsqueda en Google, siempre tiene sus riesgos, pero en los últimos meses la cosa ha ido a peor. En las últimas semanas, los investigadores han sido testigos de un aumento masivo de la publicidad maliciosa distribuida a través de Google Ads.
Durante el último mes, la plataforma publicitaria de Google se ha convertido en el lugar al que acuden los delincuentes para difundir sus productos maliciosos disfrazados de descargas legítimas.
Pare ello, intentan hacerse pasar por marcas conocidas como por ejemplo Adobe, Gimp, Microsoft Teams, Slack, Tor y Thunderbird.
Esto significa que los usuarios que buscan software legítimo mediante un navegador web, sin un bloqueador de anuncios activo, es probable que hagan clic en alguna «promoción» supuestamente del desarrollador del programa real.
Por lo tanto, si caemos en el lugar equivocado, podemos obtener malware como AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook y XLoader.
Como respuesta al bloqueo de forma predeterminada de Microsoft de las macros de Office insertadas en los documentos bajados de Internet, los villanos han recurrido a otros métodos alternativos de distribución de malware, como la publicidad maliciosa.
El mismo día que Spamhaus publicó su informe, los investigadores de la firma de seguridad Sentinel One documentaron una campaña de publicidad que impulsaba múltiples cargadores maliciosos implementados en .NET.
Sentinel One ha llamado a estos cargadores MalVirt.
Evitar las descargas dañinas
Los resultados de búsqueda engañosos «promocionados» pueden ser complicados de detectar, por lo que hay que ser muy cautelosos.
Cuando realizamos una búsqueda en Google, los resultados más relevantes se muestran en la parte superior de la página, pero a veces pueden aparecer anuncios sobre el mismo contenido que estamos buscando.
Y mientras pensamos que hemos hecho clic en una oferta que no podemos rechazar, el anuncio nos llevará a una página de phishing casi idéntica a la oficial, desde la cual descargaremos un programa infectado.
La mejor manera de bloquear estas campañas, es instalar y activar un bloqueador de anuncios en el navegador web.
Otra precaución que hay que tomar es asegurarnos que el sitio que ofrece la descarga es la página web del desarrollador.
Una señal común de que el instalador que estamos a punto de descargar podría ser malicioso es un tamaño de archivo anormal.
También es muy importante fijarnos en el nombre del dominio del sitio de descarga: puede ser muy parecido al oficial, pero con algunos caracteres distintos, como por ejemplo, errores tipográficos, o dominios con guion.
Por ejemplo, amzon.com (en lugar de amazon.com), o gimp-tk.org (en lugar de gimp.org).
A esto se le llama typosquatting, una técnica mediante la cual los estafadores registran nombres de dominio intencionalmente mal escritos o ligeramente diferentes que se parecen mucho a sitios web de marcas legítimas.
