Los ciberdelincuentes promocionan una página falsa de Google Authenticator a través de anuncios en la Búsqueda de Google. Según el informe, Usan un esquema complicado para ocultar el dominio fraudulento y hacer que el anuncio contenga una URL genuina.. La página resultante, que se parece exactamente al Google Authenticator original, descarga un archivo malicioso.
Página de descarga falsa de Google Authenticator promocionada en Google Ads
En julio 30, 2024 Los analistas notaron un anuncio en la Búsqueda de Google, que conduce a un sitio web que imita la página de descarga legítima de Google Authenticator. Este no es el primer abuso de un not ideal ad moderation in Google Ads, pero esta vez los estafadores se atreven a falsificar al propio Google. El anuncio fraudulento exacto utiliza trucos sofisticados que hacen que el enlace del anuncio parezca genuino. Pero al hacer clic en él, se desencadena una cadena de redirecciones, arrojar a la víctima al sitio web chromeweb-authenticators.com.
Lista de dominios utilizados en esta estafa
- gg2024.info
- gg2024.com
- authenticcator-descktop.com
- authentificatorgoogle.com
- authentificator-gogle.com
- athentificator-gogle.com
- updater-pro.com
- authentificatorgogle.com
- authenticattor-googl.com
- chromstore-authentificator.com
- authentificcatorgoolgle.com
- authenticator-google.com
- authentificator-googl.com
- authentficatorgoogle.com
El sitio web en sí intenta copiar el estilo de la página del Autenticador original. Incluso contiene enlaces a publicaciones de blog genuinas. Que es diferente, sin embargo, es la presencia de dos tentadores botones que dicen “Descargar”. La cuestión es que Google nunca ofreció una versión de escritorio de su herramienta MFA.. Y ahí es donde ocurre la parte clave del plan.
Al hacer clic en cualquiera de los dos botones "Descargar", el sitio extrae el archivo Authenticator.exe del repositorio de GitHub. Por aquí, Los piratas informáticos que respaldan el plan impiden la detección temprana: GitHub se considera seguro, a pesar de ser utilizado como almacenamiento de malware en una selección de ataques. Pero una víctima inconsciente confirmará la descarga y ejecutará el Autenticador falso, lanzando la carga útil.
DeerStealer dentro de un autenticador de Google falso
La carga útil es una muestra de un malware ladrón bastante nuevo, apodado ladrón de ciervos. Se rumorea que es una variante reelaborada de XFiles. ladrón de información, pero eso hace poca o ninguna diferencia para el usuario. Una vez que Authenticator.exe se esté ejecutando, lanzará la carga útil maliciosa mediante el secuestro de DLL. Después de eso, DeerStealer efectivamente sale de la tierra, en la memoria del sistema, sin dejar rastros en el disco.
%SAMPLEPATH%\5d1e3b113e15fc5fd4a08f41e553b8fd0eaace74b6dc034e0f6237c5e10aa737.exe
Más, El malware se conecta a una de varias direcciones C2 que lleva en la memoria del sistema, y envía la información recopilada. Aparte de las cosas típicas de los ladrones de información: contraseñas, fichas, criptomonederos, etc, también recopila una huella digital del sistema bastante extensa: GUID, idioma, configuraciones de red y nombre de la computadora.
Cómo protegerse contra estafas de malware?
La mejor protección contra malware es mitigar el problema de forma proactiva, para que ni siquiera llegues al punto en el que haya malware en algún lugar de tu sistema. Éste, sin embargo, puede ser problemático: como puedes ver en el texto de arriba, Los actores de amenazas tienen muchos trucos para meterse con la gente.. Por eso tu atención, junto con el software de seguridad adecuado, es una clave para evitar infecciones de malware.
Revisar los sitios donde obtienes el software. Incluso si un anuncio de Google dice que el sitio es legítimo, puede que no sea, como puedes ver en este caso. Comprueba siempre la URL final, y, si no 100% seguro, utilice servicios confiables de escáner de URL en línea. Escáner de URL en línea GridinSoft es un servicio gratuito que le proporcionará tales capacidades.
Utilice software antimalware confiable con protección proactiva y seguridad de la red. Para evitar caer en estafas de siguiente nivel que son totalmente indistinguibles de los sitios legítimos, consiga una protección que detecte estos casos por usted. GridinSoft Anti-Malware proporciona una excelente protección contra las amenazas más modernas, y te cubrirá incluso durante la navegación informal.