Una investigación de la compañía de ciberseguridad Malwarebytes ha arrojado luz sobre un caso peculiar de malvertising —esto es, la manipulación de publicidad online con el objetivo de conseguir infectar dispositivos—. Y es que, si bien lo habitual es que el atacante inyecte código malicioso en un anuncio existente o cree uno desde cero, en este caso gran parte de la estafa se basó en un accidente.
Por supuesto, la primera parte de esta ciberestafa (el ataque de intención de código contra una web legítima) fue muy intencional. Pero la difusión a esta campaña vino de la mano de los 'anuncios dinámicos' que Google creó de manera automática.
Así, entre las búsquedas de PyCharm, un popular IDE (Entorno de Desarrollo Integrado) específico para el lenguaje Python, empezaron a proliferar resultados que redireccionaban a todo usuario que clicase en los mismos a la página web hackeada… que, en lugar de ofrecer acceso a dicha aplicación, descargaba múltiples piezas de malware en el PC del usuario.
¿Cómo sucedió esto?
El sitio web en cuestión pertenece a una empresa especializada en la planificación de bodas: algunas de sus secciones habían sido atacadas e inyectadas con contenido malicioso, que se superponía al original, ofreciendo así el aspecto (y el título) de una web que ofrecía números de serie de PyCharm y otros programas relacionados.
Pero el verdadero peligro llegó de la mano de Google. Concretamente cuando Google Ads, utilizando la función de Anuncios de Búsqueda Dinámica (DSA), creó automáticamente anuncios basados en el contenido de dicho sitio web. Si un sitio web que hace uso de esas funcionalidades publicitarias se ve comprometido, como ocurrió en este caso, los anuncios resultantes pueden ser engañosos.
En esta situación, el anuncio creado dinámicamente por Google llevaba el título "JetBrains PyCharm Professional" (el título de la sección web tras haber sido alterada por los atacantes), pero tenía palabras clave relacionadas con la planificación de bodas, evidenciando un claro desajuste.
El gran problema es que los usuarios desprevenidos que buscaban PyCharm podrían hacer clic en el anuncio sin leer la descripción detalladamente. Al hacerlo, eran llevados a la página comprometida que les ofrecía la descarga de una clave de serie.
Y para aquellos que decidieron seguir adelante con dicha descarga, lo que recibieron fue un torrente de infecciones de malware, haciendo que sus dispositivos quedaran prácticamente inutilizables.
Un recordatorio para los usuarios
Esta estafa es un claro recordatorio de los peligros de descargar cracks o claves de serie de fuentes no verificadas. Aunque es posible que el hacker que comprometió el sitio web ni siquiera supiera que esto estaba ocurriendo, la situación resalta la importancia de ser siempre cautelosos con el contenido patrocinado y verificar todo software antes de ejecutarlo.
Desde una perspectiva de calidad publicitaria, este tipo de ataques son difíciles de detectar, ya que el anuncio ha sido pagado por un negocio legítimo y lleva a los usuarios al destino correcto.
Imágenes | Malwarebytes
En Genbeta | Los anuncios en Google son una "estafa" y un "chantaje" para Basecamp: "No queremos poner este anuncio"
