Malware propaga-se por resultados do Google sobre software legitimo

Malware propaga-se por resultados do Google sobre software legitimo

O sistema de publicidade da Google tem vindo a ser cada vez mais usado para distribuir campanhas de malware, e recentemente foi identificada uma nova forma de enganar os utilizadores que realizam pesquisas no mesmo.

De acordo com os investigadores da empresa de segurança Guardio Labs, uma nova campanha de malware encontra-se a propagar a partir da publicidade da Google, focando-se em software popular no mercado.

O esquema começa quando os utilizadores realizam a pesquisa na Google por um software – até agora entre os nomes afetados encontra-se a Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird e Brave.

Quando se realiza a pesquisa no Google, sobre certos termos, o motor de pesquisa apresenta alguns resultados de publicidade no topo da página, como parte do Google Ads. Estes links surgem diretamente no topo dos resultados para todos os utilizadores.

Aproveitando este facto, o que os criminosos estão a realizar será a colocação de sites maliciosos, que fornecem versões adulteradas dos programas que os utilizadores estão a pesquisar, sobre sites falsos e replicados dos originais.

exemplo de esquema malicioso com malware

Desta forma, os utilizadores que realizem a pesquisa pelo software, podem estar a pensar que acederam ao link do site oficial do programa, quando na verdade estão a carregar num link de publicidade, direcionando os mesmos para um falso website com versões modificadas do programa.

Para evitar a deteção pelos sistemas de segurança da Google, os links podem direcionar primeiro para um site legitimo, que apresenta informações sobre o software, antes de direcionar as vítimas para o falso site onde a versão com malware do programa se encontra.

As versões modificadas dos programas são adulteradas para conterem malware focado em roubar dados sensíveis dos sistemas, e que podem abrir portas para outro género de ataques, como ransomware.

Como sempre, o recomendado será que os utilizadores tenham cuidado sobre os locais onde descarregam aplicações, validando sempre se os domínios são os oficiais das entidades responsáveis pelos mesmos.