CSIRT Blog

Los piratas informáticos utilizan anuncios de Google Ads para robar

Escrito por E-dea Networks | 14-feb-2025 1:16:36

Ciberdelincuentes Usan Anuncios de Búsqueda de Google para Robar Credenciales de Google Ads.

Irónicamente, los ciberdelincuentes ahora usan los anuncios de búsqueda de Google para promover sitios de phishing que roban las credenciales de los anunciantes para la plataforma Google Ads.
Los atacantes publican anuncios en la Búsqueda de Google que se hacen pasar por Google Ads, apareciendo como resultados patrocinados que redirigen a las víctimas potenciales a páginas de inicio de sesión falsas alojadas en Google Sites, pero que parecen la página de inicio oficial de Google Ads, donde se les pide que inicien sesión en sus cuentas.

Google Sites se utiliza para alojar páginas de phishing porque permite a los atacantes camuflar sus anuncios falsos, dado que la URL (sites.google.com) coincide con el dominio raíz de Google Ads para una suplantación completa.

 

"De hecho, no se puede mostrar una URL en un anuncio a menos que la página de destino (URL final) coincida con el mismo nombre de dominio. Si bien se trata de una regla destinada a proteger contra el abuso y la suplantación de identidad, es muy fácil de eludir", afirmó Jérôme Segura, director sénior de investigación de Malwarebytes.
"Si volvemos a examinar el anuncio y la página de Google Sites, vemos que este anuncio malicioso no infringe estrictamente la regla, ya que sites.google.com utiliza los mismos dominios raíz que ads.google.com. En otras palabras, está permitido mostrar esta URL en el anuncio, por lo que no se puede distinguir del mismo anuncio publicado por Google LLC".

Etapas del Ataque de Phishing

Según personas que fueron víctimas de estos ataques o los vieron en acción, los ataques incluyen múltiples etapas:

  1. La víctima ingresa la información de su cuenta de Google en la página de phishing.
  2. El kit de phishing recopila identificadores únicos, cookies y credenciales.
  3. La víctima puede recibir un correo electrónico indicando un inicio de sesión desde una ubicación inusual (Brasil).
  4. Si la víctima no detiene este intento, se agrega un nuevo administrador a la cuenta de Google Ads mediante una dirección de Gmail diferente.
  5. El actor de amenazas inicia una ola de gastos y excluye a las víctimas si puede.

 

 

Grupos Ciberdelincuentes Detrás del Ataque

Detrás de estos ataques están al menos tres grupos de ciberdelincuentes:

  • Hablantes de portugués que probablemente operan desde Brasil.
  • Actores de amenazas con base en Asia que utilizan cuentas de anunciantes de Hong Kong o China.
  • Una tercera banda, probablemente formada por europeos del este.

Objetivo Final: Venta de Cuentas Robadas

Malwarebytes Labs, que detectó esta campaña en curso, cree que el objetivo final de los delincuentes es:

  • Vender las cuentas robadas en foros de piratería.
  • Utilizar algunas de ellas para ejecutar futuros ataques utilizando las mismas técnicas de phishing.

"Esta es la operación de publicidad maliciosa más atroz que hemos detectado, que afecta directamente al negocio de Google y probablemente a miles de sus clientes en todo el mundo. Hemos estado informando de nuevos incidentes a toda hora y, sin embargo, seguimos identificando otros nuevos, incluso en el momento de la publicación", añadió Segura.
"Irónicamente, es muy posible que las personas y empresas que realizan campañas publicitarias no utilicen un bloqueador de anuncios (para ver sus anuncios y los de sus competidores), lo que los hace aún más susceptibles a caer en estos esquemas de phishing".

Impacto y Respuesta de Google

Las cuentas robadas de Google Ads son muy buscadas por los ciberdelincuentes, que las utilizan regularmente como combustible para otros ataques, abusando de los anuncios de búsqueda de Google para difundir malware y diversas estafas.

"Prohibimos expresamente los anuncios que tienen como objetivo engañar a las personas para robarles información o estafarlas. Nuestros equipos están investigando activamente este problema y trabajando rápidamente para solucionarlo", dijo Google a BleepingComputer cuando se le pidió más detalles sobre los ataques.

Estadísticas Clave de Google en 2023

A lo largo de 2023, Google:

  • Bloqueó o eliminó 206,5 millones de anuncios por infringir su Política de tergiversación.
  • Eliminó más de 3.400 millones de anuncios, restringió más de 5.700 millones y suspendió más de 5,6 millones de cuentas de anunciantes.

Actualización (16 de enero, 15:18 EST)

Google dice que ahora "ha abordado este problema" y está "trabajando con los anunciantes afectados para recuperar el acceso a sus cuentas".

Más información en el siguiente artículo

Hackers use Google Search ads to steal Google Ads accounts

 

 

 
Ver post completo