Cuidado – este anúncio do Google pode roubar seus dados bancários sem você saber

gurinho

Usar anúncios do Google para colocar seus sites maliciosos no topo da página de resultados é um truque que os cibercriminosos usam com frequência. O exemplo mais recente é um site falso do Homebrew que usa um infostealer para roubar dados pessoais, histórico do navegador, informações de login e dados bancários de vítimas inocentes.

Detectado por Ryan Chenkie no X e relatado por BleepingComputer , o anúncio malicioso do Google exibe até mesmo o URL correto do Homebrew “brew.sh”, então não há uma maneira real de detectar o truque antes de clicar.

Para quem clicou, o anúncio os redirecionou para um clone do site hospedado em “brewe.sh”, revelando o URL incorreto. De acordo com uma resposta ao post X de Logan Kilpatrick do Google, o anúncio foi removido – então não precisa se preocupar se você estiver lendo isso. No entanto, Chenkie e muitos de seus comentaristas ficaram surpresos e confusos com a capacidade do anúncio de exibir o URL correto, apesar de não corresponder ao destino do link.

Parece que essa estratégia é chamada de “cloaking de URL” e o Google disse ao BleepingComputer que isso acontece porque “os atores da ameaça estão evitando a detecção criando milhares de contas simultaneamente e usando manipulação de texto e camuflagem para mostrar aos revisores e sistemas automatizados diferentes sites que um visitante regular iria ver."

Claramente, há muito trabalho sendo feito para enganar o Google e fazê-lo fazer isso, o que significa que pode ser um problema difícil para o Google resolver. Neste momento, a empresa está “aumentando a escala dos seus sistemas automatizados e revisores humanos” para tentar combater o problema, o que certamente parece caro.

É possível que essa técnica de camuflagem de URL torne muito mais fácil para os cibercriminosos atingirem sites como o Homebrew. Como um sistema de gerenciamento de pacotes de software para macOS e Linux, é praticamente garantido que seu público tenha mais conhecimento do que o comprador on-line médio e provavelmente não cairia em um anúncio que exibisse descaradamente um URL incorreto.

O infostealer usado nesta campanha foi identificado pelo pesquisador de segurança JAMESWT como AmosStealer (também conhecido como Atomic) e foi projetado especificamente para sistemas macOS. Desenvolvido usando Swift, o malware pode ser executado em dispositivos Intel e Apple Silicon e é vendido a cibercriminosos como uma assinatura de US$ 1.000 por mês.

Se você está preocupado com campanhas de malware como essa, há algumas coisas que você pode fazer para se manter seguro. Em primeiro lugar, além de verificar o URL exibido de um anúncio antes de clicar, agora é uma boa ideia verificar o URL da página assim que ela for carregada. Lembre-se de que apenas um personagem precisa ser diferente, portanto, faça mais do que apenas dar uma olhada.

Outra maneira de evitar a propagação de malware especificamente pelos anúncios do Google é parar de clicar nos anúncios do Google. Se você pesquisar um site específico, a versão normal sempre estará incluída nos resultados abaixo, portanto, basta pular completamente o anúncio e evitar problemas dessa forma. Caso contrário, se você vir um anúncio de seu interesse, pesquise o nome da empresa ou produto que está anunciando, em vez de clicar diretamente no anúncio.

Por último, se este for apenas um dos muitos aborrecimentos do Google para você, você pode sempre considerar chutar o Google para o meio-fio. Mecanismos de busca focados em maior privacidade, como DuckDuckGo ou Qwant na Europa, são alternativas viáveis ​​se você estiver interessado em tentar algo novo.