Ninguém gosta de anúncios, isso não dá para negar. Mas, por mais que na maioria das vezes sejam apenas irritantes, eles podem ser também muito perigosos. Este é o caso de alguns anúncios de pesquisa do Google que enganam os usuários em busca de aplicativos populares, fazendo com que baixem malware.

Funciona assim: os criminosos da internet pagam ao Google para mostrar um anúncio na sua ferramenta de pesquisa, fazendo com que o seu link seja um dos primeiros entre os resultados de busca. Os usuários, sem suspeitar de nada e acreditando que o Google tenha algum mecanismo de filtragem, clica no anúncio suspeito e é redirecionado a um site que normalmente não é perigoso, até acabar redirecionado novamente a um clone do site oficial da empresa que está buscando. Então, o usuário baixa um cavalo de Troia acreditando se tratar do produto legítimo. Este vírus, então, pode roubar dados pessoais, instalar outros vírus (incluindo ransomware) ou até mesmo tomar o controle total do computador.

Este tipo de ataque é bem simples e tem se tornado mais e mais popular com o passar dos anos. Um dos exemplos mais recentes é um vírus chamado Bumblebee. De acordo com pesquisadores do SecureWorks, o carregador do vírus, que costumava ser distribuido principalmente através de links de phishing, está agora sendo distribuído através dos anúncios do Google com a ajuda de técnicas de "envenenamento" da otimização de mecanismo de busca (SEO). O envenenamento por SEO envolve um criminoso enchendo um site de palavras-chave, links falsos e conteúdos que fazem com que seja seja rankeado em uma posição melhor nos resultados de pesquisa do que o website legítimo. Embora o envenenamento por SEO e o abuso do Google Ads sejam complementates, nosso foco neste artigo será este último.

Cuidado com o Bumblebee

Em uma postagem recente em seu blog, a SecureWorks disse que criminosos da internet vêm enchendo os anúncios do Google de links que redirecionam os usuários para o download de novos softwares, como o ChatGPT, e programas muito usados por pessoas com trabalhos remotos, como Zoom, Cisco AnyConnect (um cliente VPN seguro de acesso remoto) e Citrix Workspace, outro aplicativo popular voltado ao home office. Quando os usuários acessam os links, eles acabam em páginas de download falsas em que acabam baixando uma versão do programa com vírus.

Em uma campanha, a SecureWorks observou que dois arquivos estavam sendo instalados durante a instalação do Cisco: o instalador legítimo e um programa malicioso chamado PowerShell que continha o vírus Bumblebee. O script do PowerShell salvou o arquivo na memória do computador sem executá-lo, tornando sua detecção por antivírus muito mais difícil.

De acordo com a SecureWorks, o objetivo final dos criminosos era instalar um ransomware, um tipo de vírus que trava todo o seu computador ou apenas alguns arquivos e demanda um pagamento em troca da recuperação do acesso.

Google Ads: refúgio dos anúncios maliciosos?

O Bumblebee é apenas um exemplo de vírus com potencial de se espalhar rapidamente através de anúncios até que o Google tome uma atitude com relação a eles. O problema dos anúncios maliciosos do Google está muito distante de ser novidade. Na verdade, eles estão repletos deste tipo de conteúdo há anos, inclusive nos links patrocinados que você vê nos mecanismos de pesquisa. Com o Boom do mercado publicitário online, o Google simplesmente não consegue manter um controle total dos anúncios maliciosos que escapam de suas políticas. Em 2013, a empresa afirmou ter removido mais de 350 milhões destes anúncios, tirando do ar mais de 400 mil sites com vírus oculto e banindo 270.000 anunciantes suspeitos.

Em 2022, os números foram muito mais altos: em seu último relatório de segurança, o Google afirmou ter bloqueado mais de 5,2 milhões de anúncios "ruins", 142 milhões por violar sua política, e suspendeu 6,7 milhões de contas de anunciantes.

Apesar de todo o esforço do Google, a situação parece estar longe de mudar. Experts estão avisando que o problema com os vírus distribuidos através do Google Ads não está melhorando, mas sim ficando pior a cada dia.

Com a ascensão deste tipo de ataque, é difícil encontrar um aplicativo ou software popular que não tenha sido usado como isca. Nos últimos meses, os criminosos usaram anúncios para atrair usuários a sites falsos oferecendo produtos como Slack, Grammarly, μTorrent, Malwarebytes e Microsoft Visual Studio. Outro desafio é que, por mais que você utilize um antivírus para tentar impedir a instalação de malware em seu computador, os criminosos estão cada vez melhores em evitar a detecção por antivírus.

Como se proteger

Já que o simples uso de um antivírus não é o suficiente para te proteger destes ataques, é preciso usar outros métodos também. O FBI, que também já notou um aumento nos ataques de malware através de anúncios de pesquisa, compartilhou recentemente algumas dicas sobre como se proteger. A agência sugere que os usuários sejam mais cuidadosos com o que baixam na internet, chequem o URL antes de clicar em algum anúncio e, ainda melhor, não utilizem o Google e digitem o URL do site que desejam visitar diretamente no navegador.

Estas dicas sem dúvida funcionam muito bem, mas podem não ser suficientes se você está com pressa ou não está prestando muita atenção. Além disso, anunciantes mal intencionados podem te confundir ao ocultarem o endereço de IP real de um website com uma técnica conhecida como "ad cloaking".

Outra forma de se manter seguro, segundo o FBI, é usar um bloqueador de anúncios. Seja uma extensão de navegador como a do AdGuard ou um aplicativo, esta parece ser a forma mais efetiva de se proteger desta ameaça. Com um bloqueador de anúncios, você não precisa checar os URLs, já que é possível configurá-lo para não mostrar nenhum anúncio de pesquisa. Na extensão de navegador AdGuard, você pode fazer isso em um clique ao ativar Bloquear anúncios de pesquisa e autopromoção de websites, que fica desabilitado por padrão.

Captura de tela: Extensão de navegador AdGuard

Como bônus, alguns bloqueadores de anúncios, incluindo o AdGuard, te impedirão de acessar sites maliciosos e de phising.