.
Getty Images
Pesquisar no Google por downloads de softwares populares sempre envolve riscos, mas nos últimos meses tem sido absolutamente perigoso, de acordo com pesquisadores e uma coleção pseudoaleatória de consultas.
“Os pesquisadores de ameaças estão acostumados a ver um fluxo moderado de publicidade maliciosa por meio do Google Ads”, escreveram voluntários da Spamhaus na quinta-feira. “No entanto, nos últimos dias, os pesquisadores testemunharam um grande aumento afetando várias marcas famosas, com vários malwares sendo utilizados. Isso não é ‘a norma’”.
Uma das muitas novas ameaças: MalVirt
O aumento vem de várias famílias de malware, incluindo AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook e XLoader. No passado, essas famílias geralmente dependiam de phishing e spam malicioso que anexavam documentos do Microsoft Word com macros armadilhadas. No mês passado, o Google Ads se tornou o local preferido para os criminosos espalharem seus softwares maliciosos disfarçados de downloads legítimos ao se passarem por marcas como Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor e Thunderbird.
No mesmo dia em que a Spamhaus publicou seu relatório, os pesquisadores da empresa de segurança Sentinel One documentaram uma campanha avançada de publicidade maliciosa do Google que empurra vários carregadores maliciosos implementados em .NET. O Sentinel One apelidou esses carregadores de MalVirt. No momento, os carregadores MalVirt estão sendo usados para distribuir malware mais comumente conhecido como XLoader, disponível para Windows e macOS. XLoader é um sucessor do malware também conhecido como Formbook. Os agentes de ameaças usam o XLoader para roubar dados de contatos e outros dados confidenciais de dispositivos infectados.
Os carregadores MalVirt usam virtualização ofuscada para escapar da proteção e análise de endpoint. Para disfarçar o tráfego C2 real e evitar as detecções de rede, MalVirt beacons para enganar servidores de comando e controle hospedados em provedores, incluindo Azure, Tucows, Choopa e Namecheap. O pesquisador do Sentinel One, Tom Hegel, escreveu:
Como resposta ao bloqueio de macros do Office por padrão em documentos da Internet, os agentes de ameaças recorreram a métodos alternativos de distribuição de malware — mais recentemente, publicidade maliciosa. Os carregadores MalVirt que observamos demonstram quanto esforço os agentes de ameaças estão investindo para evitar a detecção e frustrar a análise.
Malware da família Formbook é um infostealer altamente capaz que é implantado por meio da aplicação de uma quantidade significativa de técnicas de anti-análise e anti-detecção pelos carregadores MalVirt. Tradicionalmente distribuído como um anexo de e-mails de phishing, avaliamos que os agentes de ameaças que distribuem esse malware provavelmente estão se juntando à tendência de publicidade maliciosa.
Dado o enorme tamanho do público que os agentes de ameaças podem alcançar por meio de malvertising, esperamos que o malware continue sendo distribuído usando esse método.
Os representantes do Google recusaram uma entrevista. Em vez disso, eles forneceram a seguinte declaração:
Pessoas mal-intencionadas costumam empregar medidas sofisticadas para ocultar suas identidades e burlar nossas políticas e fiscalização. Para combater isso nos últimos anos, lançamos novas políticas de certificação, aumentamos a verificação de anunciantes e aumentamos nossa capacidade de detectar e prevenir golpes coordenados. Estamos cientes do recente aumento na atividade de anúncios fraudulentos. Lidar com isso é uma prioridade crítica e estamos trabalhando para resolver esses incidentes o mais rápido possível.
Não é difícil encontrar evidências anedóticas de que o malvertising do Google está fora de controle. As pesquisas que buscam downloads de software são provavelmente as mais propensas a gerar publicidade maliciosa. Veja, por exemplo, os resultados que o Google retornou para uma pesquisa na quinta-feira procurando por “download do visual studio”:
Clicar no link patrocinado pelo Google me redirecionou para o downloadstudio[.]net, que é sinalizado pelo VirusTotal como malicioso por apenas um único provedor de endpoint:
Na noite de quinta-feira, o download oferecido por este site foi detectado como malicioso por 43 mecanismos antimalware:
.
