El uso de anuncios de Google para empujar sus sitios maliciosos a la parte superior de la página de resultados es un truco que los ciberdelincuentes utilizan con demasiada frecuencia. El último ejemplo es un sitio web falso de Homebrew que utiliza un ladrón de información para deslizar datos personales, historial del navegador, información de inicio de sesión y datos bancarios de víctimas desprevenidas.
Detectado por Ryan Chenkie en X y reportado por BleepingComputer, el anuncio malicioso de Google incluso muestra la URL correcta de Homebrew «brew.sh«, por lo que no hay una forma real de detectar el truco antes de hacer clic.
⚠️ Developers, please be careful when installing Homebrew.
Google is serving sponsored links to a Homebrew site clone that has a cURL command to malware. The URL for this site is one letter different than the official site. pic.twitter.com/TTpWRfqGWo
— Ryan Chenkie (@ryanchenkie) January 18, 2025
Para cualquiera que hiciera clic, el anuncio lo redirigía a un clon del sitio alojado en «brewe.sh», revelando la URL incorrecta. Según una respuesta a la publicación X de Logan Kilpatrick de Google, el anuncio ahora ha sido eliminado, así que no hay necesidad de preocuparse si está leyendo esto. Sin embargo, Chenkie y muchos de sus comentaristas se sorprendieron y confundieron por la capacidad del anuncio para mostrar la URL correcta a pesar de que no coincidía con el destino del enlace.
Parece que esta estrategia se llama «encubrimiento de URL» y Google le ha dicho a BleepingComputer que sucede porque «los actores de amenazas están evadiendo la detección creando miles de cuentas simultáneamente y utilizando la manipulación de texto y el encubrimiento para mostrar a los revisores y sistemas automatizados diferentes sitios web que vería un visitante habitual».
Claramente, hay mucho trabajo para engañar a Google para que haga esto, lo que significa que podría ser un problema difícil de solucionar para Google. En este momento, la compañía está «aumentando la escala de sus sistemas automatizados y revisores humanos» para tratar de combatir el problema, lo que ciertamente suena costoso.
Es posible que esta técnica de encubrimiento de URL haga que sea mucho más fácil para los ciberdelincuentes dirigirse a sitios web como Homebrew. Como sistema de gestión de paquetes de software para macOS y Linux, está prácticamente garantizado que su audiencia estará más informada que el comprador en línea promedio y probablemente no caería en un anuncio que mostrara descaradamente una URL incorrecta.
El ladrón de información utilizado en esta campaña fue identificado por el investigador de seguridad JAMESWT como AmosStealer (también conocido como Atomic), y está diseñado específicamente para sistemas macOS. Desarrollado con Swift, el malware puede ejecutarse tanto en dispositivos Intel como Apple Silicon y se vende a los ciberdelincuentes como una suscripción de 1.000 dólares al mes.
Si te preocupan las campañas de malware como esta, hay algunas cosas que puedes hacer para mantenerte a salvo. En primer lugar, además de comprobar la URL mostrada de un anuncio antes de hacer clic, ahora es una buena idea comprobar la URL de la página una vez que se carga. Recuerda que solo un personaje tiene que ser diferente, así que asegúrate de hacer algo más que echarle un vistazo.
Otra forma de evitar la propagación del malware por los anuncios de Google específicamente es dejar de hacer clic en los anuncios de Google. Si busca un sitio específico, la versión normal siempre se incluirá en los resultados a continuación, así que omita el anuncio por completo y evite problemas de esa manera. De lo contrario, si ve un anuncio que le interesa, busque el nombre de la empresa o el producto que anuncia en lugar de hacer clic en el anuncio directamente.
Por último, si esta es solo una de las muchas molestias basadas en Google para usted, siempre puede considerar patear a Google a la acera. Los motores de búsqueda que se centran en mejorar la privacidad, como DuckDuckGo o Qwant en Europa, son alternativas viables si estás interesado en probar algo nuevo.
