La aplicación falsa Google Authenticator difunde malware, no autenticación

La aplicación falsa Google Authenticator difunde malware, no autenticación

Un actor de amenazas ha utilizado un anuncio legítimo de Google para dirigir a las víctimas a un sitio falso para descargar malware ladrón de información.

Los investigadores de seguridad han detectado una campaña de malware que distribuye un ladrón de información camuflado en la aplicación Authenticator de Google.

La campaña fue descrita en una publicación del blog de Malwarebytes y se basa en una campaña publicitaria legítima de Google, solo que es un anuncio falso.

El anuncio patrocinado habría aparecido para cualquier persona que buscara Google Authenticator. El anuncio mostraba el sitio web legítimo de Google, se identificaba como el “sitio web oficial” e incluso afirmaba que el anunciante (un tal Larry Marr) estaba verificado por Google.

“La verdad es que Larry Marr no tiene nada que ver con Google y es probable que sea una cuenta falsa”, dijo el investigador de Malwarebytes Jérôme Segura en una publicación de blog.

“Podemos seguir lo que sucede cuando haces clic en el anuncio mediante el seguimiento del tráfico web. Vemos una serie de redirecciones a través de dominios intermediarios controlados por el atacante, antes de aterrizar en un sitio falso de Authenticator”.

Un total de 10 redirecciones pasaron por varios dominios (incluidos algunos sitios legítimos de Google, un dominio oculto y varios dominios falsos que afirmaban ser “chromeweb-authenticators(.)com”) antes de terminar en un repositorio de Github. Los sitios de Chromeweb se habían registrado el mismo día en que se observó por primera vez el anuncio falso y el código del sitio incluía comentarios escritos en alfabeto cirílico.

El archivo malicioso alojado en ese repositorio de Github se llama Authenticator.exe pero, de hecho, es el ladrón de información DeerStealer, que puede filtrar datos a través de la infraestructura web controlada por el actor de la amenaza.

El archivo en sí cuenta con una firma válida firmada por Songyuan Meiying Electronic Products Co.

“Debemos tener en cuenta que Google Authenticator es una herramienta de autenticación multifactor reconocida y confiable, por lo que resulta irónico que las víctimas potenciales se vean comprometidas mientras intentan mejorar su seguridad”, dijo Segura.

“Recomendamos evitar hacer clic en anuncios para descargar cualquier tipo de software y, en su lugar, visitar directamente los repositorios oficiales”.