Los anuncios de Google han sido utilizados en diferentes ocasiones en campañas maliciosas para atacar a los usuarios. En este caso, nos hacemos eco de una más. Se trata de una campaña falsa denominada Mac Cleaner, que tiene la capacidad de redirigir a las víctimas a sitios web falsos y así atacar. Es un problema importante, pues puede llegar a afectar a muchos internautas.
Esta investigación ha sido realizada por parte de MacKeeper, una empresa especializada en herramientas para la protección de dispositivos Mac, y han publicado el informe con fecha de 26 de enero. Indican que los ciberdelincuentes están explotando anuncios de búsqueda de Google y así distribuir malware con páginas de destino que no son verdaderas. Simulan el diseño oficial de la página web de Apple y así atraer a sus víctimas. De esto se han hecho eco medios especializados como GB Hackers.
Usan anuncios de Google para atacar
Cuando la víctima hace una búsqueda en Google, estos anuncios van a aparecer como un resultado más. De hecho, aparecen en los destacados. Esto ocurre al buscar el término “Mac Cleaner”, con el objetivo de limpiar su Mac de posibles archivos maliciosos y amenazas que pueda haber en el sistema.
Va a mostrar dominios de confianza, como docs.google.com y business.google.com. Al hacer clic en ese anuncio, va a ser redirigida a una página falsa, la que simula ser de Apple, y ahí empieza el problema. Son redirigidos a páginas de macros de Google Apps Script camufladas con la marca oficial de Apple.
Estas páginas web utilizan instrucciones engañosas, donde indican qué hacer para liberar espacio en disco o gestionar el almacenamiento, todo ello a través de diferentes tareas. Esto genera seguridad en la víctima, ya que lo que busca, precisamente, es liberar espacio o conseguir que su equipo funcione mejor.
Este malware va a usar diferentes técnicas, para que la víctima crea que está haciendo algo positivo. Va a mostrar mensajes como “limpiando el almacenamiento de macOS”. Junto a esto, hay comandos ocultos codificados en Base64. Otros mensajes indican que están instalando algo legítimo para que funcione mejor el equipo.
Para que esto sea posible, los atacantes, previamente, han atacado cuentas de Google Ads. Ya han sido reportados a Google, para que dejen de estar disponibles. Sin embargo, esto nos demuestra cómo los piratas informáticos siguen explotando este tipo de plataformas publicitarias maliciosas.
| Tipo de Indicador | Valor | Riesgo Asociado |
|---|---|---|
| Dominio malicioso | business-google[.]online |
Página de redirección fraudulenta |
| Patrón de URL | https://script.google.com/macros/s/.../exec |
Alojamiento y ejecución de scripts maliciosos |
| Término de Búsqueda | ‘Mac Cleaner’ | Vector de entrada principal vía Google Ads |
| Payload | Variantes de XMRig, scripts de robo de claves SSH | Minería de criptomonedas, robo de credenciales |
Qué hacer
Lo principal es precaución a la hora de hacer clic en anuncios publicitarios. Como has podido ver, podrías toparte con estafas muy bien diseñadas. Aunque Google, sobre el papel, sea una plataforma segura, siempre existe el riesgo de que te topes con algún resultado malicioso, que busque que caigas en la trampa.
A partir de ahí, también es fundamental que revises todas las páginas a las que entras. Podrías acceder, por error, a una web maliciosa, creada para robar tus datos o contraseñas. Revisa muy bien siempre la URL, el aspecto de ese sitio y nunca des información que pueda ser sensible, ni descargues archivos que podrían contener malware.
También debes rechazar cualquier permiso inesperado. Si has instalado alguna aplicación o estás visitando una web, y solicitan permisos que no esperabas, cuidado con esto. Podría tratarse de una trampa y eso es un problema.
Igualmente, tener tu equipo bien protegido, va a ser esencial. Asegúrate de contar con un buen antivirus, que te ayude a detectar y eliminar malware, además de tener todo actualizado y corregir así posibles vulnerabilidades que puedas tener.
En definitiva, cuidado con esta campaña maliciosa que utiliza anuncios de Google para colar malware. Van a redirigirte a páginas falsas, que simulan ser oficiales para limpiar tu Mac. Comprueba que tienes tu equipo correctamente actualizado, protegido y, lo más importante, mantén siempre el sentido común.
