This post is also available in: Português
Recentemente, a equipe de inteligência de ameaças da Malware Bytes Labs descobriu uma cadeia de publicidade maliciosa que abusa da rede de anúncios do Google para redirecionar os visitantes para uma infraestrutura de golpes de suporte técnico.
Usuários desavisados que pesquisam por palavras-chave populares, clicarão em um anúncio e seu navegador será invadido com avisos falsos, solicitando que liguem para o suporte da Microsoft, que na verdade são cibercriminosos se passando pelos atendentes.
O que destaca esta campanha é o fato de explorar um comportamento de busca muito comum quando se trata de navegar na web: procurar um site pelo nome em vez de inserir seu URL completo na barra de endereços.
O que é malvertising?
Para começar, vamos explicar do que se trata o termo malvertising.
O malvertising (publicidade maliciosa) é o uso de ferramentas de publicidade para espalhar e instalar malwares ou redirecionar o tráfego de navegação de suas vítimas.
Cibercriminosos inserem anúncios infectados em redes de publicidade legítimas que exibem a peça publicitária em sites confiáveis. Depois, quando a vitima visita uma página comprometida, o anúncio malicioso infecta seu dispositivo com malware, mesmo sem nenhum clique nele.
Sequestro de fluxo de trafego de usuários específicos
Os cibercriminosos estão abusando da rede de anúncios do Google comprando espaço de anúncio para palavras-chave populares e seus erros de digitação associados.
Um comportamento humano comum é abrir um navegador e fazer uma pesquisa rápida para chegar ao site desejado sem inserir o URL completo. Normalmente, um usuário clica (cegamente) no primeiro link retornado (seja um anúncio ou resultado de pesquisa orgânica).
Por exemplo, um usuário quer acessar o YouTube, então ele abre o navegador e digita “youtube” em vez de digitar o endereço completo “youtube.com” na barra de endereços do navegador. O primeiro resultado que aparece mostra www.youtube.com, então é provável que ele confiará e clicará nele.
Sequestrar o tráfego dessa maneira é um esquema inteligente e provavelmente lucrativo, que descreve alguns dos problemas e abusos associados ao posicionamento de anúncios versus resultados de pesquisa orgânica.
Os pesquisadores observaram as principais pesquisas carregando anúncios de malware nesta campanha:
- YouTube
- Amazon
- Walmart
Camuflagens e outras violações
Segundo os pesquisadores, a técnica usada para desviar o tráfego para fins maliciosos é conhecida como camuflagem e se baseia em dois pré-requisitos:
- O usuário parece falso (endereço IP não residencial, string de agente de usuário incorreta ou simplesmente um rastreador)
- O usuário parece legítimo
Nesse caso, um redirecionamento para o site solicitado ocorrerá.
Um redirecionamento para um site diferente e conteúdo diferente acontece.
De acordo com as diretrizes do Google, o Cloaking é considerado uma violação das Diretrizes para webmasters do Google porque fornece aos nossos usuários resultados diferentes do esperado. E, com base na violação da política do Google, um comprador que usa um anúncio contendo malware pode ser suspenso por, no mínimo, três meses.
Denúncia e proteção
A equipe de inteligência de ameaças relata que essas campanhas estão em andamento há várias semanas e que, embora não tenham uma estatística para saber quantas pessoas foram expostas, os números foram altos com base em dois fatores:
- Os anúncios segmentam palavras-chave populares (o que também indica que os cibercriminosos não se opõem a pagar um prêmio);
- Os pesquisadores conseguiram reproduzir as cadeiras de malvertising em seu laboratório várias vezes;
Os anúncios maliciosos foram denunciados e sinalizados na categoria “um anuncio/listagem viola políticas do Google Ads”.
Para se proteger, procure sempre digitar o endereço do site completo e corretamente no navegador.
Quando fizer uma pesquisa, procure evitar clicar em anúncios, procure pelo resultado orgânico e analise a URL antes de clicar.
This post is also available in: Português
