Una nueva campaña de “Malvertising” elude los controles de Google para servir anuncios falsos del famoso antivirus, redirigiendo a las víctimas a sitios clonados que instalan ladrones de información.
Es el colmo de la ciberseguridad: intentar descargar una herramienta para protegerte y terminar infectado precisamente por buscarla. Analistas de amenazas han detectado una campaña activa donde actores maliciosos están comprando publicidad en Google (Google Ads) para hacerse pasar por la marca oficial de Malwarebytes.
El ataque es especialmente efectivo porque abusa de la confianza ciega que tenemos en los primeros resultados de búsqueda (“Patrocinados”), utilizando técnicas de evasión avanzadas para distribuir el peligroso loader FakeBat y el infostealer StealC.
El Engaño: Clonando la Seguridad
La campaña sigue un esquema de ingeniería social muy pulido:
- La Búsqueda: Un usuario, preocupado por la seguridad de su PC, busca en Google términos como “Malwarebytes download” o “Antivirus gratis”.
- El Anuncio Falso: El primer resultado que aparece es un anuncio pagado. Gracias a una técnica de manipulación de visualización, el anuncio muestra la URL legítima www.malwarebytes.com en el texto verde de Google, lo que convence a la víctima de que es seguro.
- El Clic: Al hacer clic, el usuario no va al sitio oficial. En su lugar, es redirigido a través de una cadena de dominios intermedios hasta aterrizar en una página clonada (un “lookalike”) como malwarebytes-premium[.]com o malware-bytes[.]io.
Cloaking: ¿Por qué Google no lo detecta?
Los atacantes utilizan una técnica llamada “Cloaking” (Camuflaje).
- Filtro de Bots: El servidor malicioso analiza quién hace la visita. Si detecta que la visita proviene de un bot de revisión de Google o de una dirección IP de seguridad, muestra una página inofensiva o un blog genérico.
- Filtro de Víctimas: Si detecta que es un usuario real (basándose en la huella digital del navegador, cookies y comportamiento), le sirve la página falsa con el botón de “Descarga Gratis” infectado.
La Carga Útil: StealC y FakeBat
El archivo descargado suele ser un instalador MSI o un script ofuscado. Una vez ejecutado, no instala el antivirus, sino malware diseñado para el robo silencioso:
- StealC: Un “infostealer” ligero y rápido que barre el navegador en busca de contraseñas guardadas, cookies de sesión (para secuestrar cuentas de Facebook/Google sin contraseña) y datos de autocompletar.
- Wallets de Criptomonedas: El malware busca específicamente extensiones de billeteras como MetaMask o archivos de claves privadas en el disco.
Cómo Protegerse
- Evita los “Patrocinados”: Acostúmbrate a saltar los primeros 2-3 resultados marcados como “Anuncio” o “Patrocinado” en Google. Ve directamente a los resultados orgánicos.
- Verifica la URL en la barra de direcciones: Aunque el anuncio diga “malwarebytes.com”, una vez que la página carga, mira la barra de direcciones. Si ves guiones extraños, dominios .xyz o .info, cierra la pestaña inmediatamente.
- Descargas Directas: Para herramientas críticas de seguridad, escribe la dirección manualmente en el navegador (malwarebytes.com) en lugar de buscarla.
