Cuidado com o download do Notepad++ no Google
De tempos a tempos, a publicidade da Google é usada para campanhas de malware, e recentemente uma tem vindo a focar-se em quem procura descarregar o popular editor Notepad++.
De acordo com a empresa de segurança Malwarebytes, uma nova campanha encontra-se a usar a publicidade da Google para enganar os utilizadores que pretendam descarregar a aplicação do Notepad++, levando-as para sites maliciosos com versões adulteradas.
Esta campanha parece ter escapado dos radares da Google, mantendo-se ativa faz meses. A ideia será que os resultados de pesquisa surgem quando os utilizadores procuram diretamente no Google por termos associados ao editor, como “download Notepad++”. Os primeiros resultados da pesquisa são, por norma, associados a publicidade.
Os atacantes tiram proveito disso para apresentarem sites falsos, que redirecionam os utilizadores para supostas páginas de download da aplicação. No entanto, estas tratam-se de versões adulteradas com código malicioso, que podem instalar malware nos sistemas.
Os sites usados para a campanha possuem vários domínios. Quando as vítimas acedem ao mesmo, passam por um sistema de redireccionamentos. Se for verificado que o IP do utilizador corresponde ao de um bot ou VPN, este reencaminha os mesmos para um site aparentemente legitimo. No entanto, para os restantes casos, é apontado para um site com o aspeto da página legítima de download do Notepad++.
Se os utilizadores tentarem fazer o download do programa por esse site, passam por uma segunda camada de validação, que verifica se os mesmos estão em algum género de ambiente protegido – como uma máquina virtual. Se não, o download é realizado.
A aplicação de instalação da versão maliciosa do Notepad++ possui apenas alguns KB de tamanho total, mas é o suficiente para instalar o malware no sistema – que pode levar ao roubo de dados ou instalação de ransomware.
Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos resultados de pesquisa que acedem, evitando os primeiros resultados patrocinados no motor de pesquisa.