FBI adverte sobre anúncios de mecanismos de pesquisa que empurram malware e phishing
O FBI alerta que os agentes de ameaças estão usando anúncios de mecanismos de pesquisa para promover sites que distribuem ransomware ou roubam credenciais de login para instituições financeiras e trocas de criptomoedas.
No anúncio de serviço público de hoje, a agência federal de aplicação da lei disse que os agentes de ameaças compram anúncios que se fazem passar por empresas ou serviços legítimos. Esses anúncios aparecem na parte superior das páginas de resultados de pesquisa e levam a sites que parecem idênticos ao site da empresa falsificada.
“Quando um usuário pesquisa por esse negócio ou serviço, esses anúncios aparecem no topo dos resultados de pesquisa com distinção mínima entre um anúncio e um resultado de pesquisa real”, alerta o FBI.
“Esses anúncios levam a uma página da Web que parece idêntica à página oficial da empresa representada.”
Ao procurar por software, o FBI diz que os anúncios serão vinculados a sites com um link de download para o software com o nome do aplicativo personificado.
O comunicado do FBI também alerta sobre anúncios que promovem sites de phishing que imitam plataformas financeiras e, mais especificamente, plataformas de troca de criptomoedas que convidam os visitantes a inserir suas credenciais de conta.
Depois que as credenciais são inseridas nesses sites de phishing, elas são roubadas por agentes de ameaças que as usam para roubar fundos ou vendê-los a outros agentes de ameaças.
O BleepingComputer recentemente ajudou a revelar uma enorme campanha de typosquatting usando mais de 200 sites que personificam projetos de software, exchanges de criptomoedas e plataformas de carteira para empurrar malware para Windows e Android.
No início do ano, um site que se fazia passar pelo editor de imagens do GIMP usou publicidade maliciosa para lançar o ladrão de informações Vidar em seus visitantes desavisados.
Embora esses anúncios parecessem estar promovendo o site gimp.org real, conforme mostrado abaixo, eles redirecionavam os usuários para um site diferente que enviava malware.
Em outro caso de março de 2022, os operadores do ladrão de Marte abusaram do Google Ads para promover um site malicioso parecido com o Open Office para distribuir seu malware.
Mais recentemente, o SANS ISC divulgou uma campanha de malvertising AnyDesk na Pesquisa do Google que soltou o malware IcedID em vez do popular aplicativo de desktop remoto.
Como se proteger
A precaução mais importante ao procurar algo online é não clicar na primeira coisa que aparece nos resultados da pesquisa sem verificar seu URL.
Como os primeiros resultados em um determinado termo de pesquisa geralmente são anúncios promovidos, é mais seguro ignorá-los e rolar para baixo até ver o resultado da pesquisa no site oficial do projeto e usá-lo.
“Embora os anúncios de mecanismos de pesquisa não sejam de natureza maliciosa, é importante ter cuidado ao acessar uma página da Web por meio de um link anunciado”, alerta o FBI.
Além disso, até mesmo verificar o link às vezes pode ajudar, pois os agentes de ameaças podem criar anúncios para exibir um URL legítimo, mas redirecionar os usuários para sites clonados sob o controle do invasor.
Outra recomendação é usar bloqueadores de anúncios, que filtram os resultados promovidos na Pesquisa Google.
Se você visita um site com frequência, seria melhor marcar seu URL e usá-lo para acessá-lo, em vez de procurá-lo sempre.