Los estafadores compran anuncios para las búsquedas de Google más comunes realizadas por personas mayores y los defraudan con estafas de soporte técnico.
Conocer a su audiencia es poco en lo que se destacan los estafadores, y por muy buenas razones. Esto es particularmente cierto para los estafadores de soporte técnico cuyos principales objetivos son las personas mayores.
Al comprender lo que buscan los jubilados y explotar de varias plataformas en límite, los delincuentes pueden perseguir precisamente al categoría demográfico que les interesa y atraerlos a los sitios que controlan.
Hemos estado observando una campaña específica de publicidad maliciosa a través de anuncios de Google dirigida a personas mayores. El actor de amenazas está creando cientos de sitios web falsos a través de la plataforma Weebly para encajar contenido señuelo para engañar a los motores de búsqueda y rastreadores mientras redirige a las víctimas a una alerta de computadora falsa.
Según nuestro examen, este esquema en particular comenzó en algún momento del verano de 2022, pero su prevalencia aumentó drásticamente en el final mes. Si adecuadamente hemos estado compartiendo detalles con las partes afectadas en privado durante algunas semanas, ahora estamos exponiendo lo que sabemos.
Términos de búsqueda populares
La publicidad maliciosa, o el uso de anuncios para entregar contenido desconfiado, no es poco nuevo. Sin retención, a lo prolongado de los abriles, varios actores de amenazas lo han utilizado para diferentes propósitos.
Es una forma rentable y valioso de alcanzar objetivos y luego monetizar aquellos con una cierta carga útil que puede ser cualquier cosa, desde software desconfiado o simples estafas antiguas. Pero no solemos escuchar mucho sobre esto final porque el impacto de las estafas puede ser más difícil de cuantificar.
Al platicar con las víctimas, a menudo las escuchará describir que simplemente estaban buscando poco e hicieron clic en algún empleo cuando, de repente, sucedió esto o aquello.
Como vimos un aumento en nuestra telemetría para las páginas de estafas de soporte técnico, decidimos replicar algunas de esas búsquedas y obtuvimos palabras secreto que pensamos que la audiencia senior/jubilada podría usar con frecuencia. Para maximizar nuestras posibilidades de identificar la campaña, utilizamos una máquina verdadero y la preparamos con un perfil específico.
De allí, cualquier cosa relacionada con recetas y cocina es una consulta de búsqueda popular. Previamente habíamos identificado otra campaña de publicidad maliciosa usando este mismo tema.
Incluso intentamos agenciárselas juegos como Solitaire:
Y, por supuesto, no podíamos prescindir de comprobar el tiempo:
Sitios de señuelo
Si adecuadamente los enlaces de los sitios patrocinados pueden parecer legítimos, no lo son. El problema es que, a menos que seas la víctima prevista, solo verás el contenido íntegro. Es importante porque los rastreadores y otras herramientas de demostración de la calidad de los anuncios pueden validar al anunciante y permitir que una gran audiencia llegue al anuncio.
Cada sitio es muy simple y contiene contenido que fue robado de otro empleo y compilado apresuradamente.
El actor de amenazas ha estado creando cientos de esos sitios web a través de la plataforma Weebly de la que está abusando. Algunos días, vimos un promedio de 10 nuevos nombres de host de Weebly utilizados por los estafadores.
Encubierto
Como se mencionó anteriormente, es importante que los estafadores permanezcan ocultos y hagan creer que estas páginas web son legítimas. Pueden hacerlo fácilmente usando una técnica conocida como encubrimiento.
El encubrimiento es simplemente mostrar contenido diferente en función de un notorio objetivo y poder ocultar la carga útil de algunos visitantes no deseables (es sostener, rastreadores web, investigadores de seguridad).
Los estafadores hicieron esto de varias maneras, algunas harto simples (agente de beneficiario y demostración de IP), pero asimismo pagaron por un servicio de encubrimiento profesional.
La API cloaker devolverá una respuesta que contiene dos enlaces diferentes:
En este caso, la página de monises es una URL que pertenece a Digital Ocean y aloja una página de estafa de soporte técnico.
Estafa de soporte técnico
La mayoría de los estafadores usarán una plantilla para la página de estafa de soporte técnico que está personalizada para el sistema operante y el navegador que utiliza la víctima. Este esquema está adaptado tanto para Windows como para Mac, soportando los navegadores Chrome, Opera, Safari y Firefox.
En este caso, asimismo están abusando de una función del navegador que reasigna las pulsaciones de teclas cuando una página está en pantalla completa apuntando a la API navigator.keyboard.lock. Lo que esto significa en términos prácticos es que el beneficiario no podrá salir de la página de pantalla completa a menos que mantenga presionada la tecla Escape durante varios segundos. Muchas personas entrarán en pánico y llamarán al número de teléfono que aparece en la pantalla, solo para caer en manos de estafadores y perder cientos, a veces incluso miles de dólares.
Protección contra ataques de publicidad maliciosa
La publicidad maliciosa puede venir en diferentes formas y formatos de anuncios, y lo mismo puede decirse de las cargas bártulos que se distribuyen.
Como vimos a principios de este año, al hacer clic en el anuncio superior para descargar un software no siempre obtendrá lo que deseaba, de hecho, puede infectar su computadora con malware. Los actores de amenazas son muy buenos para hacerse suceder por marcas legítimas y establecer sitios web convincentes.
Hemos informado y continuamos informando esta campaña de publicidad maliciosa a Google y Block Inc. (Weebly).
Siempre recomendamos utilizar un enfoque de seguridad en capas y, para la publicidad maliciosa, necesitará protección web combinada con protección antimalware. Malwarebytes Premium para consumidores y Endpoint Protection para empresas brindan protección en tiempo verdadero contra tales amenazas.
PROBAR AHORA
