Los ciberdelincuentes utilizan Google Ads para distribuir malware suplantando a DeepSeek, aprovechando la creciente confianza de los usuarios en los motores de búsqueda para encontrar software y herramientas. En este contexto, la publicidad patrocinada se ha convertido en un arma de doble filo: lo que debería facilitar el acceso a contenidos legítimos, se está convirtiendo en una vía de entrada para campañas maliciosas.
En esta ocasión, el objetivo ha sido DeepSeek, la empresa china de inteligencia artificial generativa que ha ganado gran popularidad tras lanzar sus modelos DeepSeek-R1-Zero y DeepSeek-R1.
Investigadores de Malwarebytes han detectado una nueva campaña maliciosa en la que se utilizan anuncios falsos en los resultados patrocinados de Google para distribuir malware disfrazado como instaladores de DeepSeek. Aunque los anuncios en sí no son particularmente sofisticados, los sitios web clonados logran engañar con facilidad, haciendo que los usuarios descarguen sin saberlo software malicioso.
Heracles: el troyano que roba información… y criptomonedas
Una vez que el usuario hace clic en el enlace fraudulento y descarga el supuesto software, el archivo ejecuta un troyano desarrollado en MSIL (Microsoft Intermediate Language). Según Jérôme Segura, director senior de investigación en Malwarebytes, la carga útil corresponde al troyano Heracles, un malware de tipo infostealer que tiene como principal objetivo las carteras de criptomonedas.
De origen aparentemente ruso, Heracles no solo busca credenciales de acceso y archivos sensibles, sino que escanea el sistema en busca de información asociada a billeteras digitales, datos financieros y otra información confidencial que pueda monetizarse en el mercado negro.
Este tipo de malware es especialmente dañino porque actúa de forma silenciosa, permitiendo al atacante robar datos sin alertar a la víctima hasta que ya es demasiado tarde.
Una táctica que ya no es nueva… pero sí efectiva
Esta no es la primera vez que Google Ads es aprovechado para distribuir malware. En los últimos años, Malwarebytes y otras firmas de ciberseguridad han notificado múltiples campañas similares, incluyendo suplantaciones de productos de la propia Google. La diferencia en esta ocasión es el nivel de sofisticación de la suplantación de marca, así como la popularidad repentina de DeepSeek, que ha sido aprovechada por los atacantes como gancho.
Aunque Google ha tomado medidas para frenar este tipo de campañas, los resultados siguen siendo preocupantes. En su Informe de Seguridad de Anuncios 2023, la compañía informó haber bloqueado más de 5.500 millones de anuncios y suspendido 12,7 millones de cuentas de anunciantes, casi el doble que el año anterior.
Los ciberdelincuentes continúan encontrando formas de burlar los filtros de seguridad, ya sea creando cuentas falsas, utilizando cuentas comprometidas, o modificando tácticas para evadir y evitar la detección automatizada. El incentivo económico sigue siendo alto, especialmente cuando campañas como esta logran posicionarse por encima de los sitios oficiales y legítimos, engañando incluso a usuarios precavidos.
DeepSeek: una víctima más en el auge de la suplantación de marcas
El caso DeepSeek es un ejemplo más de cómo las marcas tecnológicas emergentes se convierten rápidamente en objetivos de campañas de suplantación. Con la creciente popularidad de herramientas de IA y software de código abierto, los atacantes encuentran una oportunidad perfecta en la falta de familiaridad del público con los sitios oficiales.
Aprovechando el interés en DeepSeek, los atacantes diseñaron una estrategia de ingeniería social basada en la urgencia y la confianza en Google como plataforma de búsqueda. Esta combinación, sumada a una apariencia visual creíble en los sitios clonados, resultó ser altamente efectiva.
Este tipo de amenaza representa un doble golpe: afecta tanto a los usuarios como a la reputación de la empresa suplantada, en este caso DeepSeek, que no tiene responsabilidad directa, pero cuyo nombre queda ligado al ataque.
