Ciberactores se aprovechan de los anuncios de Google Ads para propagar malware

Se ha evidenciado a través de varias fuentes que ciberactores han aumentado el abuso de las plataformas de Google Ads, por medio de palabras claves que aparecen en los resultados en los motores de búsqueda para engañar a los usuarios que buscan productos de software tales como: Grammarly, Slack, Dashlane, Audacity, ITorrent, AnyDesk, Libre Office, Teamviewer, Thunderbird, entre otros.

Método de infección a través de Google Ads

Como es sabido, Google Ads es una plataforma de marketing que ayuda a empresas o personas a promocionar sus negocios, sitios web y/o productos mediante la utilización de palabras claves relacionadas a su marca para poder aparecer dentro de los primeros resultados de búsqueda en Google, teniendo como objetivo, vender productos, darse a conocer o aumentar el tráfico hacia su sitio web. 

Google puede detectar si el sitio web al cual se dirige el anuncio es malicioso y procede con el bloqueo de este. En esta campaña, los ciberactores utilizaron páginas web poco conocidas (creadas por ellos mismos) para llevar el tráfico y desde ahí, redirigir a las víctimas a un sitio fraudulento que suplanta, en este caso, a marcas de software para que descarguen productos que vienen con código malicioso.

Según los investigadores de Trend Micro, esta nueva campaña está protagonizada por IcedID y complementan su información con la entregada previamente por el FBI respecto de esta misma técnica. 

La víctima al llegar al sitio final, descarga el archivo que viene en formato ZIP o MSI, que se descarga de servicios de intercambio de archivos y alojamiento de código acreditados, como GitHub, Dropbox o CDN de Discord, lo cual asegura que cualquier programa antivirus que se esté ejecutando en el equipo de la víctima no objete la descarga.

Ilustración 1 - Cadena de infección de malware de botnet IcedID - Trend Micro

Trend Micro, explica la cadena de infección de la siguiente manera:

1. Un usuario busca una aplicación ingresando un término de búsqueda en Google. En este ejemplo particular, el usuario desea descargar la aplicación AnyDesk e ingresa el término de búsqueda "AnyDesk" en la barra de búsqueda de Google.
2. Un anuncio malicioso de la aplicación AnyDesk que conduce a un sitio web malicioso se muestra encima de los resultados de búsqueda orgánicos.
3. Los actores de IcedID abusan del sistema legítimo de dirección de tráfico (TDS) de Keitaro para filtrar el tráfico de investigadores y sandbox. Luego, la víctima es redirigida a un sitio web malicioso.
4. Una vez que el usuario selecciona el botón "Descargar", descarga un instalador de software de Microsoft (MSI) malicioso o un archivo instalador de Windows dentro de un archivo ZIP en el sistema del usuario.

Cadena de ataque explicada por el FBI

A mediados de diciembre, la agencia federal de investigación e inteligencia publicó la  investigación “Ciberdelincuentes que se hacen pasar por marcas que utilizan servicios de publicidad en motores de búsqueda para defraudar a los usuarios”, en la cual detallan la metodología utilizada por los ciberactores para efectuar sus campañas maliciosas.

Dentro del texto se puede leer lo siguiente:

“Los ciberdelincuentes compran anuncios que aparecen en los resultados de las búsquedas en Internet utilizando un dominio similar a un negocio o servicio real. Cuando un usuario busca esa empresa o servicio, estos anuncios aparecen en la parte superior de los resultados de búsqueda, con una distinción mínima entre un anuncio y un resultado de búsqueda real. Estos anuncios enlazan con una página web que parece idéntica a la página web oficial de la empresa suplantada.

En los casos en que un usuario busca un programa para descargar, la página web fraudulenta contiene un enlace para descargar software que en realidad es malware. La página de descarga parece legítima y la propia descarga lleva el nombre del programa que el usuario pretendía descargar.

Aunque los anuncios de los motores de búsqueda no son maliciosos por naturaleza, es importante tener precaución al acceder a una página web a través de un enlace anunciado”.

Junto a esto, el FBI entrega una serie de recomendaciones tanto para personas como empresas para evitar caer en este tipo de engaño:

El FBI recomienda a las personas que tomen las siguientes precauciones:

• Antes de hacer clic en un anuncio, compruebe la URL para asegurarse de que el sitio es auténtico. Un nombre de dominio malicioso puede ser similar a la URL prevista, pero con errores tipográficos o una letra mal colocada.
• En lugar de buscar una empresa o institución financiera, escriba la URL de la empresa en la barra de direcciones del navegador de Internet para acceder directamente al sitio web oficial.
• Utilice una extensión de bloqueo de anuncios cuando realice búsquedas en Internet. La mayoría de los navegadores permiten añadir extensiones, incluidas las que bloquean la publicidad. Estos bloqueadores de anuncios pueden activarse y desactivarse dentro de un navegador para permitir la publicidad en determinados sitios web y bloquearla en otros.

El FBI recomienda a las empresas que tomen las siguientes precauciones:

• Utilizar servicios de protección de dominios que notifiquen a las empresas cuando se registren dominios similares para evitar la suplantación de dominios.
• Informar a los usuarios sobre los sitios web falsos y la importancia de confirmar que las URL de destino son correctas.
• Informar a los usuarios sobre dónde encontrar descargas legítimas de programas proporcionados por la empresa.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.