Um ataque de malware adotou uma estratégia ousada: criar um site falso do Google Authenticator e colocar uma propaganda dele no próprio Google, para fisgar quem quer baixar o aplicativo. O pior de tudo é que deu certo: os anúncios apareciam no buscador e imitavam até a URL da empresa.
A propaganda foi encontrada pela empresa de cibersegurança Malwarebytes nos resultados. Ela mostrava a URL “google.com” e “https://www.google.com” e vinha inclusive com um selo que dizia “Site oficial”. Ao clicar no link, uma série de redirecionamentos leva o visitante ao site falso.
O Google também dizia que o anunciante tinha sido verificado, mas, nas informações sobre a propaganda, consta apenas o nome Larry Marr, que não tem nenhuma relação com a empresa. Provavelmente, se trata de uma conta falsa.
Malvertising é um problema para o Google
Não é a primeira vez que um anúncio no Google é usado para distribuir malware. A prática tem até nome: “malvertising”, junção das palavras “malware” e “advertising” (propaganda). O site Bleeping Computer menciona outros casos envolvendo publicidade de páginas falsas, incluindo KeePass, o navegador Arc, YouTube e Amazon.
O mais novo episódio mostra que o Google ainda falha na hora de bloquear ataques deste tipo. Após contato do Bleeping Computer, a empresa disse ter tirado o anúncio do ar.
Segundo o Google, campanhas deste tipo conseguem escapar das lentes da empresa usando diversas táticas. Os atacantes criam milhares de contas simultaneamente para cadastrar os anúncios, aumentando as chances de algum deles escapar.
Além disso, eles usam manipulação de texto e cloaking. Assim, sistemas de revisão automática e fiscais humanos veem páginas diferentes daquelas que serão exibidas a visitantes comuns.
Authenticator falso rouba dados
Voltemos ao caso do Google Authenticator falso. A página promete o download da ferramenta de autenticação em dois fatores do Google, mas, no lugar dela, baixa um arquivo .exe que está hospedado no GitHub.
O Bleeping Computer chama a atenção para o fato de que, em dois dias diferentes, o pacote veio com assinaturas de companhias distintas. Em ambos os casos, porém, isso pode dar ao arquivo credibilidade para ultrapassar barreiras de segurança do Windows.
O executável traz o DeerStealer, malware especializado em roubar credenciais, cookies e outras informações armazenadas no navegador.
Portanto, ao fazer um download, fique atento ao endereço que aparece na barra do seu navegador e desconfie de URLs desconhecidas. E vale frisar: o Google Authenticator não tem versão para PC, apenas para Android e iOS.
Com informações: Malwarebytes, Bleeping Computer