Malvertising: atenção aos anúncios maliciosos escondidos em pesquisas
Uma coisa é verdade: os criadores de malware estão profundamente empenhados em melhorar o seu malware e em explorar diferentes formas de comprometer os utilizadores finais. O malware que se propaga através de anúncios não é novidade e a ESET alerta para esta ameaça.
O malware que se propaga através de anúncios não é novidade; há muito tempo que os cibercriminosos têm estado de olho nas redes de publicidade online como vetor de distribuição.
Com apenas um clique, o computador de uma pessoa ou mesmo toda a sua rede pode ficar "infestada". E apesar da utilização contínua de bloqueadores de anúncios e de software de segurança sofisticado, a propagação de malware através de anúncios continua a ser um grande problema – especialmente quando se apresentam como anúncios de websites legítimos.
Como é que o “malvertising” em motores de busca funciona?
Após o boom de vários motores de busca ao longo dos anos 90, e tendo em conta a crescente invasão do mundo online no nosso quotidiano físico, não é de surpreender que as empresas de publicidade queiram visar esses espaços.
No entanto, entre estes anúncios de pesquisa, também se podem encontrar anúncios maliciosos. As campanhas de “malvertising” normalmente envolvem cibercriminosos que compram espaço publicitário de topo nos motores de busca para atrair potenciais vítimas a clicarem nos seus anúncios maliciosos; os atacantes têm apresentado anúncios que imitam software popular como o Blender, Audacity, GIMP e MSI Afterburner, para citar alguns.
Não são necessários truques de SEO – os vigaristas que pagam por anúncios de pesquisa colocam automaticamente a sua página maliciosa no topo dos resultados de pesquisa das pessoas.
Foi o caso de um anúncio do Bing que se fazia passar por um serviço de VPN. O URL do anúncio era muito parecido com o legítimo, e website falso era uma cópia fiel do verdadeiro. Além disso, a solução descarregável (detetada pela ESET como MSIL/Agent.CKL) escondia um payload malicioso: SecTopRAT, um trojan de acesso remoto que permite aos atacantes assumir o controlo das sessões do navegador e exfiltrar dados.
Uma história semelhante apareceu em 2024, em que um cibercriminoso utilizou domínios falsos, disfarçados de software de scanner de IP, e abusou de anúncios de pesquisa para aumentar a visibilidade das suas páginas maliciosas.
Assim, os utilizadores da Internet que pesquisam produtos específicos podem deparar-se com casos destes, com apenas pistas subtis disponíveis para distinguir entre um anúncio ou página legítimo e um malicioso.
“Whack-a-mole”
Em 2023, a Google bloqueou ou removeu mais de mil milhões de anúncios que estavam a abusar da sua rede de publicidade, incluindo anúncios que promoviam malware.
Outros anunciantes em linha também são vítimas. Devido à natureza do negócio da publicidade, os malfeitores podem manipular toda uma cadeia de publicidade, comprometendo-a de várias formas possíveis – desde comprar anúncios e fazer-se passar por fornecedores de motores de busca até invadir websites e servidores de anúncios.
Embora os fornecedores de motores de busca removam continuamente anúncios ou websites maliciosos dos resultados de pesquisa, os cibercriminosos são persistentes e continuam a encontrar novas formas de contrariar a filtragem de conteúdos, criando um jogo de “whack-a-mole” (o jogo de arcada de “acertar nas toupeiras”) entre os fornecedores de pesquisa e os criminosos. Como resultado, nunca se pode ter 100% de certeza de que aquilo em que se clica é uma hiperligação maliciosa.
Outras formas de malvertising
Os anúncios de pesquisa maliciosos representam apenas uma forma de abuso de anúncios por parte de cibercriminosos. Outros tipos incluem a distribuição de banners publicitários malignos, alguns até escondendo código malicioso através da utilização de esteganografia, em websites legítimos. Os anúncios maliciosos também podem ser encontrados através de hiperligações no texto, popups, etc.
Como se proteger contra “malvertising”
Felizmente, há medidas que pode tomar para se proteger contra ciberameaças, e o mesmo se aplica ao malvertising. Eis algumas delas:
- A consciencialização é o primeiro passo para uma vida cibersegura. Só o facto de ter lido este artigo é uma medida preventiva para não ser vítima de malvertising.
- Limitar o fingerprinting do navegador, e não apenas por causa da privacidade. Elimina uma forma potencial de sites e agentes maliciosos identificarem o seu dispositivo.
- Utilize um bloqueador de anúncios com boa reputação; é uma forma de impedir que estes anúncios cheguem até si e, embora não seja 100% eficaz, em combinação com as outras sugestões, funciona bem.
- Tenha cuidado com vários popups, pedidos de permissão e outros comportamentos indesejados do navegador.
- Mantenha os seus dispositivos e software atualizados. Algumas vulnerabilidades podem ser facilmente exploradas, facilitando o trabalho dos hackers.
- Utilize uma solução de segurança sólida com proteção em tempo real, como o ESET Home Security Premium.
É claro que podem ser tomadas muitas mais medidas, mas estas devem ser suficientes para cobrir, pelo menos, os aspetos básicos da prevenção de malvertising.
Em conclusão, o malvertising nos motores de busca é apenas mais uma via para os cibercriminosos proliferarem as ameaças. Além disso, sublinha o quão criativa pode ser a distribuição de malware e mostra a necessidade de reforçar a segurança e a sensibilização para as ameaças. Mantenha-se vigilante e preste atenção, pois mesmo a oferta mais apelativa pode, por vezes, esconder perigos inesperados.
Quando a semente já vem infetada à nascença, não há muito a fazer.