.
Imagens Miragec/Getty
O Google foi pego hospedando um anúncio malicioso tão convincente que há uma boa chance de ele ter conseguido enganar alguns dos usuários mais experientes em segurança que o encontraram.
Malwarebytes
Olhando para o anúncio, que se disfarça como uma proposta para o gerenciador de senhas de código aberto Keepass, não há como saber se ele é falso. Afinal, está no Google que afirma examinar os anúncios que veicula. Para tornar o estratagema ainda mais convincente, clicar nele leva ao ķeepass[.]info, que quando visualizado em uma barra de endereço parece ser o site Keepass genuíno.
Malwarebytes
Um link mais próximo no link, porém, mostra que o site está não o genuíno. Na verdade, ķeepass[.]info — pelo menos quando aparece na barra de endereço — é apenas uma forma codificada de denotar xn--eepass-vbb[.]info, ao que parece, está empurrando uma família de malware rastreada como FakeBat. Combinar o anúncio no Google com um site com URL quase idêntico cria uma tempestade quase perfeita de enganos.
“Os usuários são enganados primeiro pelo anúncio do Google que parece totalmente legítimo e depois novamente por um domínio semelhante”, escreveu Jérôme Segura, chefe de inteligência de ameaças do provedor de segurança Malwarebytes, em um post na quarta-feira que revelou o golpe.
As informações disponíveis no Ad Transparency Center do Google mostram que os anúncios estão em exibição desde sábado e foram exibidos pela última vez na quarta-feira. Os anúncios foram pagos por uma empresa chamada Digital Eagle, que a página de transparência afirma ser um anunciante cuja identidade foi verificada pelo Google.
Malwarebytes
Os representantes do Google não responderam imediatamente a um e-mail enviado após o expediente. No passado, a empresa disse que remove imediatamente anúncios fraudulentos assim que possível após serem denunciados.
O truque que permitiu ao site impostor xn--eepass-vbb[.]informações para aparecer como ķeepass[.]info é um esquema de codificação conhecido como punycode. Ele permite que caracteres Unicode sejam representados em texto ASCII padrão. Olhando com atenção, é fácil identificar a pequena figura em forma de vírgula imediatamente abaixo do k. Quando aparece em uma barra de endereço, a figura é igualmente fácil de perder, especialmente quando a URL é apoiada por um certificado TLS válido, como é o caso aqui.
O uso de golpes de malware aprimorados por punycode tem uma longa história. Há dois anos, os golpistas usaram anúncios do Google para direcionar as pessoas a um site que parecia quase idêntico ao Brave.com, mas que era, na verdade, outro site malicioso que promovia uma versão falsa e maliciosa do navegador. A técnica punycode chamou a atenção pela primeira vez em 2017, quando um desenvolvedor de aplicativos da Web criou um site de prova de conceito disfarçado de apple.com.
Não há uma maneira infalível de detectar anúncios maliciosos do Google ou URLs codificados em punycode. Postando ķeepass[.]informações em todos os cinco navegadores principais levam ao site impostor. Em caso de dúvida, as pessoas podem abrir uma nova aba do navegador e digitar manualmente o URL, mas isso nem sempre é viável quando eles são longos. Outra opção é inspecionar o certificado TLS para ter certeza de que pertence ao site exibido na barra de endereço.
.
