- Los investigadores han detectado piratas informáticos que crean páginas de phishing en Google Sites
- Luego, las páginas se publican en Google Ads.
- Las víctimas no pueden acceder a sus cuentas, que están siendo utilizadas o vendidas.
Los ciberdelincuentes han encontrado una manera de abusar de Google y hacerse pasar por él, publicar anuncios maliciosos en la red publicitaria del motor de búsqueda y robar credenciales de personas que buscan promocionar sus negocios.
La advertencia proviene de investigadores de seguridad cibernética de Malwarebytes, quienes advirtieron a los usuarios que tengan cuidado incluso al hacer clic en anuncios que provienen del propio Google.
Los actores de amenazas comienzan creando una página de inicio falsa de Google Ads en Google Sites, el creador de sitios web de la compañía que también proporciona a los usuarios una URL de Google (algo así como https://sites.google.com/view/nombredelsitio) – luego crean un anuncio falso, anuncian una nueva promoción o oferta, y lo colocan en la red de Google Ads.
Tres jugadores amenazantes
“De hecho, no se puede mostrar una URL en un anuncio a menos que su página de destino (la URL final) coincida con ese nombre de dominio. Si bien esta es una regla diseñada para proteger contra el uso indebido y la suplantación, es muy fácil de navegar”, explicó Jérôme Segura, director senior de investigación sobre Malwarebytes.
“Al mirar el anuncio y la página de Google Sites, vemos que este anuncio malicioso no infringe completamente la regla, ya que sites.google.com utiliza los mismos dominios raíz que ads.google.com. En otras palabras, es Se permite mostrar esta URL en el anuncio, por lo que no podemos distinguirlo del mismo anuncio publicado por Google LLC”.
Las víctimas que caen en la trampa y hacen clic en el anuncio son redirigidas a una página web que les pide que inicien sesión. Una vez que lo hacen, la página de suplantación recopila sus credenciales de inicio de sesión, identificadores únicos y cookies, y pasa los datos a los atacantes, quienes luego inician sesión desde una cuenta de Google separada.
El último paso es bloquear la cuenta de la víctima y utilizarla para financiar campañas adicionales, comprar otros servicios y más.
Malwarebytes cree que al menos tres actores de amenazas están implementando esta táctica actualmente: un grupo brasileño, un atacante en Asia y un grupo de algún lugar de Europa del Este.
a través de pitidocomputadora
