Foi identificada uma nova campanha de malware que se esconde em anúncios legítimos no Google Adwords, exibidos com os resultados de qualquer pesquisa no motor de busca, para redirecionar os utilizadores para sites maliciosos, assim que é feito o primeiro clique na página destacada nos resultados de pesquisa.

O chamariz para o esquema surge quando o utilizador pesquisa por palavras-chave específicas, conseguiram já apurar os investigadores, que também identificaram algumas destas palavras: AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack ou Zoom, entre outras, como mostra esta animação criada pela Guardio Labs.

Esquemas Gooogle Adwords - Guardio Labs
Esquemas Gooogle Adwords - Guardio Labs créditos: Guardio Labs

Como explica a empresa de segurança, os atacantes estão a usar sites legítimos para conseguir pôr o esquema a funcionar e passar pelo crivo do Google Adwords. Pagam pela promoção nos resultados desses sites e com isso garantem que quando alguém pesquisa por determinada palavra-chave, os seus sites isca surgem no topo dos resultados.

Mal alguém tenta abrir um dos destes sites é redirecionado para outra página, que esconde software malicioso, como os trojans Vidar ou Raccoon Stealer que, uma vez no computador da vítima, estão programados para roubar dados.

Esquemas Gooogle Adwords - Guardio Labs
Esquemas Gooogle Adwords - Guardio Labs créditos: Guardio Labs

"No momento em que esses sites são acedidos por visitantes-alvo (aqueles que realmente clicam no resultado da pesquisa promovido), o servidor redireciona-os imediatamente para um site falso e de lá para a carga maliciosa", explica o investigador Nati Tal, num artigo publicado no site da empresa de segurança sobre a descoberta. Nesta infografia, a empresa detalha vários exemplos, mostrando o destino final (na coluna da direita) de um clique em diferentes sites legítimos (coluna da esquerda).

Esquemas Gooogle Adwords - Guardio Labs
Esquemas Gooogle Adwords - Guardio Labs créditos: Guardio Labs

A campanha tem sido direcionada sobretudo para utilizadores nos Estados Unidos e Canadá e está longe de ser a primeira a utilizar os resultados de pesquisa destacados pelo serviço de anúncios da Google, para tentar enganar os utilizadores, imitando empresas conhecidas e replicando os seus nomes de domínio.

A técnica começa, aliás, a ser tão comum, que o FBI lançou também há pouco tempo um alerta sobre o assunto. Num comunicado divulgado dias antes do Natal, a agência aproveitou mesmo para reiterar um conjunto de conselhos, importantes para escapar a este tipo de esquemas, com destaque para estas recomendações:

  • Antes de clicar num anúncio, verifique o URL para ter a certeza de que o site é autêntico. Um nome de domínio malicioso pode ser semelhante ao URL que ilimita, mas com erros de digitação ou alguma letra trocada
  • Como se vê pelo esquema recentemente detetado, este cuidado pode não ser suficiente, e como tal a agência também recomenda que, em vez de procurar no motor de pesquisa uma empresa ou instituição financeira, o utilizador escreva o URL diretamente na barra de endereços do navegador de Internet.
  • Recomenda-se ainda a utilização de uma extensão de bloqueio de anúncios quando faz pesquisas na Internet, para filtrar dos resultados os sites que estão a ser promovidos. A maioria dos navegadores da Internet permite adicionar este tipo de extensões e bloquear ou desbloquear a exibição de anúncios, consoante os sites que se está a usar