Los anuncios maliciosos creados para parecerse a enlaces a sitios web están dirigidos a algunos de los sitios web más populares del mundo. Los investigadores advierten que los hackers ocultan enlaces maliciosos en los primeros resultados de búsqueda de Google.
Google ha advertido a sus usuarios de una nueva campaña de publicidad maliciosa en la que las personas que buscan sitios web populares son redirigidos a sitios fraudulentos mediante anuncios maliciosos. Malwarebytes descubrió que las búsquedas de algunos de los sitios web más populares producían anuncios diseñados para aparecer como si fueran enlaces legítimos al sitio web deseado. Algunos aparecían como la primera lista en una página de resultados.
Los sitios web imitados por los «malos» incluyen YouTube, Amazon, Facebook y Walmart. En todos los casos parecen conducir a un sitio web de bloqueo del navegador donde los usuarios reciben advertencias de estafa para llamar al soporte de Microsoft o alertas falsas de Windows Defender.
Los investigadores advierten que los hackers ocultan enlaces maliciosos en los primeros resultados de búsqueda de Google
La publicidad maliciosa, o la práctica de ocultar cargas útiles de malware detrás de anuncios en línea, generalmente ocurre en sitios web de formas más obvias. Algunos ejemplos son publicidad que promete a los usuarios productos gratuitos o premios en efectivo.
En este caso, sin embargo, los investigadores notaron la sofisticación de la campaña. Un ejemplo es un enlace de publicidad maliciosa de Facebook que no contiene discrepancias obvias que puedan alertar a un usuario sobre su naturaleza ilegítima.
Sin embargo, debido a que la publicidad maliciosa utiliza Google Ads, todavía se indica como un anuncio con texto en negrita en la esquina superior izquierda que dice «Anuncio». Esto permite que los usuarios más exigentes al menos identifiquen que no es un enlace directo al sitio web que estaban buscando. Sin embargo, esto todavía no revela su naturaleza maliciosa.
Los investigadores también notaron que el mecanismo de redireccionamiento utilizado por los actores de amenazas es bastante complejo. Tanto como para dificultar determinar a dónde enviará el anuncio a las posibles víctimas a través del análisis de HTML.
Al hacer clic en el anuncio, la página a la que se envía al usuario redirigirá al sitio web legítimo como ‘señuelo’. Otra opción es que cargará un script secundario donde se encuentra la URL maliciosa.
Luego se carga dentro de un marco en línea, un elemento HTML que carga una página dentro de otra. Esto tiene el efecto de reemplazar la página con el elemento de estafa, pero el usuario en realidad no es redirigido por segunda vez. De esta manera, la URL de la página de bloqueo del navegador malicioso se oculta para el usuario, que solo ve el ínterin del ‘dominio de encubrimiento’ .com.
El hecho de que los anuncios aparezcan en los resultados de búsqueda incluso antes que algunos de los sitios web más populares del mundo implica que los actores de amenazas están dispuestos a pagar dinero para perpetrar la estafa. Esto sería necesario para orientar palabras clave de tamaña popularidad.