Los expertos en ciberseguridad han emitido una advertencia urgente a los usuarios de Google sobre un ataque que podría haber obtenido su información personal.
Los piratas informáticos compraron espacio publicitario patrocinado directamente de la empresa, haciéndose pasar por el sitio genuino Google Authenticator del gigante tecnológico que brinda a los usuarios protección de seguridad con contraseña de dos factores.
La campaña fraudulenta utilizó lo que parecía una URL legítima de Google, pero una mirada más cercana habría revelado términos que la empresa normalmente no incluiría.
Los usuarios que descargaron el enlace fraudulento podrían haber permitido a los piratas informáticos acceder a los datos de su cuenta bancaria, su dirección y su dirección IP personal.
Los expertos ahora instan a las víctimas a Descargue y ejecute inmediatamente un escáner de virus, cambie todas las contraseñas y elimine todos los archivos temporales.
Los piratas informáticos compraron espacio publicitario patrocinado directamente de la empresa, haciéndose pasar por un sitio genuino de Google Authenticator que brinda a los usuarios protección de seguridad con contraseña de dos factores.
La nueva campaña publicitaria, descubierta por la empresa de software antimalware Malwarebytes, mostraba un enlace URL de Google.com que anteriormente había sido una señal de garantía de que el sitio era legítimo.
Los expertos han aconsejado anteriormente a los usuarios que sólo hagan clic en enlaces de publicidad que tengan un dominio de Google, pero los piratas informáticos parecen haber tomado nota de este consejo al utilizar modificadores de texto y tecnología de ocultación para imitar los sitios oficiales.
El anuncio malicioso llevó a los usuarios a descargar clones de autenticadores convincentes que fueron instalados por una campaña de distribución de malware llamada DeerStealer que afirmaba que el desarrollador, Larry Marr, estaba verificado por Google.
«La verdad es que Larry Marr no tiene nada que ver con Google y es probable que sea una cuenta falsa», dijo en un comunicado el investigador de Malwarebytes Jérôme Segura, que descubrió el ciberataque. entrada en el blog.
«Podemos seguir lo que sucede cuando haces clic en el anuncio mediante el seguimiento del tráfico web. Vemos una serie de redirecciones a través de dominios intermediarios controlados por el atacante, antes de llegar a un sitio falso de Authenticator».
Los usuarios que buscaron productos de Google en el navegador vieron el anuncio catalogado como patrocinado, lo que los impulsó a hacer clic en él sin preocupación, según Malwarebytes.
Luego fueron redirigidos varias veces hasta que aterrizaron en un sitio falso alojado en la plataforma para desarrolladores GitHub.
Los investigadores también descubrieron que después de hacer clic en el botón «descargar», los usuarios recibían una ventana emergente llamada Authenticator.exe que descargaba el malware en su computadora.
Google Authenticator ofrece servicios de autenticación multifactor que agregan una segunda capa de protección a las cuentas de Google al requerir una contraseña de un solo uso basada en tiempo, además de la contraseña habitual del usuario.
Casi cuatro millones de personas han descargado el servicio de autenticación legítimo de Google desde octubre de 2022, según Estadista.
Google le dijo a DailyMail.com que actores de amenazas, como DeerStealer, crearon miles de cuentas para evadir la detección y simultáneamente modificaron la URL y el texto del sitio y usaron software de ocultación para mostrar a los revisores de Google sitios web e información diferentes a los que verían los usuarios.
Si el autenticador fraudulento se descargó con éxito, DeerStealer tendría acceso a su información confidencial, incluidas direcciones, contraseñas e información bancaria, robo de identidad y la dirección IP de la víctima.
«Debemos tener en cuenta que Google Authenticator es una herramienta de autenticación multifactor muy conocida y confiable, por lo que resulta irónico que las víctimas potenciales se vean comprometidas mientras intentan mejorar su postura de seguridad», dijo Segura.
‘Recomendamos evitar hacer clic en anuncios para descargar cualquier tipo de software y, en su lugar, visitar directamente los repositorios oficiales.’
Después de hacer clic en el botón «descargar», los usuarios recibieron una ventana emergente llamada Authenticator.exe que descargó el malware en su computadora.
El malware fue verificado por los revisores de Google, quienes no lo marcaron como un enlace fraudulento.
Google no indicó cuándo se publicó por primera vez el malware ni cuántas personas se vieron afectadas.
La compañía le dijo a DailyMail.com que el enlace del autenticador patrocinado fue eliminado el 30 de julio después de que la compañía de software antimalware Malwarebytes les notificara sobre la actividad fraudulenta.
«Prohibimos los anuncios que intentan evadir nuestras normas disfrazando la identidad del anunciante para engañar a los usuarios y distribuir malware», dijo un portavoz de Google.
«Cuando identificamos anuncios que violan nuestras políticas, los eliminamos y suspendemos la cuenta del anunciante asociado lo más rápido posible, como hicimos en este caso».
Sin embargo, aquellos que descargaron el enlace fraudulento aún podrían estar en riesgo.
Google agregó que todavía está investigando el problema y está en proceso de aumentar sus sistemas automatizados y el número de revisores humanos para ayudar a identificar y eliminar campañas maliciosas.
Si bien es difícil detectar las diferencias entre un enlace de DeerStealer que dice de manera convincente que es una «identidad de anunciante verificada por Google», los usuarios deben buscar la URL sospechosa, chromeweb-authenticators.com, que solo aparece justo antes de descargar el archivo Authenticator.exe.
Sin embargo, la única forma garantizada de que los usuarios se protejan es no hacer clic en ningún enlace patrocinado y, en su lugar, desplazarse hacia abajo para encontrar fuentes web legítimas.
