Interesante reflexión, como casi todas las que publica, la que hace el amigo Brian Krebs en su blog del Washington Post, Security Fix.
En este caso, Krebs incide en un tema que lleva candente bastante tiempo, pero al que no termina de prestársele la debida atención. En el mundo del malware lo que vende y lo que copa portadas, aunque cada vez menos, son los troyanos destinados al robo de credenciales, con lo que las noticias que se publican sobre este tipo de amenazas siempre giran, salvo raras excepciones, en torno a lo mismo.
Esta falsa sensación de que las factorías de malware sólo producen troyanos de robo de credenciales la están aprovechando otros creadores de malware, cuyos intereres está lejos del phishing, pero no del elevado lucro económico.
En el caso de los troyanos orientados a Google Ads, el sistema publicitario de Google, hay muchas variantes en lo que a malware se refiere: inicialmente, lo que se pretendía era infectar máquinas, de modo que éstas hicieran clicks en los anuncios bajo el control de los usuarios maliciosos. El pago por click, especialmente en lengua inglesa, puede ser una jugosa fuente de ingresos, muchas veces incluso superior a la obtenida por robar unas credenciales y efectuar una transferencia monetaria de tamaño medio. Y con la gran ventaja de que los riesgos en los que se incurre, así como las implicaciones legales, son mucho menores que en el caso de los delitos asociados al robo de identidad.
El caso que relata Krebs es una de las muchas variantes del caso anterior, y describe cómo los usuarios infectados, realizando búsquedas legítimas de los términos Better Business Bureau (una especie de Oficina de Consumo en EEUU y Canada) y sus combinaciones, y tras pulsar en los anuncios patrocinados que Google despliega en la parte derecha de la pantalla una vez concluída la búsqueda, son redirigidos a sitios en los que se explota la trillada vulnerabilidad ANI de Microsoft Windows.
Google ha tomado cartas en el asunto, y cualquier búsqueda de los términos betterbusinessbureau no arroja enlaces patrocinados. Lo que se pretende es imposibilitar que el malware redirector haga su trabajo, y qué mejor manera que eliminar los vínculos patrocinados que sirven de disparador a las muestras.
Los que han descubierto la artimaña son los chavales del Exploit Prevention Labs. Buen trabajo.
Un saludo, y buen fin de semana.