Varios usuarios de la tecnología de administración de contraseñas de Bitwarden informaron la semana pasada que vieron anuncios pagados en sitios de phishing de robo de credenciales cuando usaron Google para buscar la página oficial de inicio de sesión de la bóveda world-wide-web del proveedor.
Google dice que abordar el problema es una prioridad.
Las publicaciones sobre el problema, en el foro de la comunidad de Bitwarden y en Reddit, llevaron al proveedor a advertir a sus usuarios sobre la amenaza y pídales que marquen la URL correcta para la bóveda net.
«A veces, los impostores intentarán llamar su atención si united states of america un motor de búsqueda. Manténgase seguro y protegido», dijo Bitwarden en un tweet oficial.
Suplantación de identidad de Password Vault: una amenaza creciente
La advertencia del proveedor se hizo eco de una de 1Password la semana pasada que hizo referencia a la misma amenaza a los usuarios del administrador de contraseñas de la empresa. «Nos ha llamado la atención que algunos sitios website se hacen pasar por 1Password», dijo el proveedor. «Asegúrese de que cualquier enlace lo dirija a nuestro sitio net».
Los anuncios maliciosos dirigidos a los usuarios de Bitwarden y 1Password continúan una serie de ataques recientes a los administradores de contraseñas. En diciembre, por ejemplo, LastPass, uno de los proveedores más grandes en este espacio, reveló una brecha en la que los atacantes accedieron a una copia de seguridad de los datos de la bóveda del cliente, incluidos los nombres de usuario, las contraseñas y los datos rellenados por formularios. El ataque de diciembre siguió a uno de agosto pasado, donde los actores de amenazas obtuvieron acceso al código fuente de la empresa. En otro incidente que salió a la luz en enero, los atacantes irrumpieron en los sistemas de Norton LifeLock y accedieron a la información del cliente que podría haber incluido contraseñas almacenadas en Norton Password Manager.
Anuncios de Google: una nueva táctica
Los anuncios maliciosos dirigidos a los clientes de Bitwarden y 1Password sugieren que los actores de amenazas han agregado otra táctica para ingresar a los administradores de contraseñas y comprometer las cuentas asociadas con esas contraseñas.
Los anuncios maliciosos que los usuarios de Bitwarden y 1Password informaron la semana pasada aparecieron en los primeros lugares de los resultados del motor de búsqueda de Google cuando los usuarios buscaban «administrador de contraseñas de bitwarden», por ejemplo, o la bóveda world wide web de 1Password. Y las páginas de destino son de alta calidad: un usuario de Bitwarden informó haber encontrado un sitio website de phishing que se hacía pasar por la bóveda net oficial del proveedor tan bien que period difícil notar la diferencia.
«La página de phishing es muy related a la página de inicio de sesión de la bóveda, junto con un certificado SSL y un nombre de dominio que suena equivalent, para que parezca legítimo», dijo el usuario. publicado en el foro de la comunidad de Bitwarden. «Espero que Bitwarden pueda eliminar este dominio antes de que alguien comprometa su cuenta».
Otro usuario en la página subreddit de Bitwarden publicó una captura de pantalla comparando la página oficial de la bóveda net de Bitwarden con la página de phishing. «Maldita sea. En situaciones como esta, ¿cómo puedo detectar la falsa? Esto es realmente aterrador», se lamentó el usuario, refiriéndose a cuán idéntica se veía la página de phishing en comparación con la initial.
La creciente amenaza de la publicidad maliciosa
Los anuncios pagados de Google dirigidos a usuarios de administradores de contraseñas también han resaltado lo que muchos han descrito como el creciente problema de los anuncios maliciosos, es decir, anuncios maliciosos, en los resultados de búsqueda de Google y en otras partes de la Internet. En octubre pasado, CrowdStrike describió una técnica de publicidad maliciosa de ataque relativamente nueva donde un actor de amenazas inyecta código malicioso en anuncios digitales que luego se muestran a los usuarios en línea a través de redes de publicidad legítimas.
Los atacantes han estado utilizando el vector para entregar una amplia gama de malware o enlaces a sitios internet cargados de malware o sitios de phishing para robar credenciales y otros datos confidenciales. Más recientemente, han comenzado a usar tales anuncios para hacerse pasar por marcas populares y ampliamente utilizadas. Los ejemplos recientes incluyen anuncios que se hacen pasar por el software de transmisión en vivo OBS, el software package Bender3D, VirtualBox, Ccleaner y WinRAR. En un ejemplo ampliamente citado en enero, un influencer de NFT que usaba el alias Dios de NFT informó haber perdido todas sus criptomonedas y activos digitales después de que un actor de amenazas obtuviera acceso a sus cuentas a través de un anuncio de Google para OBS con una trampa explosiva.
Las preocupaciones sobre la creciente amenaza llevaron al FBI a emitió un aviso en diciembre pasado sobre actores de amenazas que se hacen pasar por marcas usando anuncios en los resultados de búsqueda.
En una declaración enviada por correo electrónico a Dim Looking through, un portavoz de Google reconoció la naturaleza creciente del problema y dijo que una de las principales prioridades de la empresa actualmente es abordarlo. «Los malos actores a menudo emplean medidas sofisticadas para ocultar sus identidades y evadir nuestras políticas y cumplimiento», señaló el comunicado.
Para combatirlo, Google ha lanzado nuevas políticas de certificación y procesos de verificación de anunciantes. La compañía también ha reforzado su capacidad para detectar y prevenir estafas coordinadas de publicidad maliciosa, dijo el vocero.
Tales esfuerzos dieron como resultado que Google eliminando 3.400 millones de anuncios y restringió unos 5.700 millones más en 2021. La compañía también suspendió alrededor de 5.6 millones de cuentas de anunciantes ese mismo año. Al mismo tiempo, la creciente sofisticación y la escala de las operaciones de los actores de amenazas en torno a la publicidad maliciosa han hecho que frenar el problema sea un desafío para la empresa.
«Somos conscientes del reciente aumento en las campañas de malware. Abordarlo es una prioridad crítica y estamos trabajando para resolver estos incidentes lo más rápido posible», dijo el portavoz.
