Anúncio falso do Google Authenticator leva usuários a baixar malware
Para evitar ser vítima de ataques similares, é recomendável não clicar em anúncios para baixar software.
Usuários que recentemente procuraram pelo Google Authenticator através de uma pesquisa no Google podem ter sido vítimas de um golpe que os levou a baixar um malware disfarçado de software legítimo. O problema surgiu com um anúncio que parecia ser do próprio Google, mas que na verdade era uma tentativa maliciosa de enganar os usuários.
Esse tipo de representação falsa nos anúncios do Google não é novidade. Há relatos contínuos de anúncios maliciosos que parecem ser de fornecedores oficiais, mas que, na verdade, direcionam os usuários para sites de phishing ou distribuem malware. Isso não só prejudica os usuários, mas também corrói a confiança nas marcas e na própria Pesquisa Google.
O caso do Google Authenticator
No exemplo mais recente, o alvo foi o próprio Google. Usuários que buscavam pelo Google Authenticator, um popular programa de autenticação multifator, foram redirecionados para um site falso e acabaram baixando malware em vez do aplicativo oficial.
O Google Authenticator é uma ferramenta confiável utilizada para adicionar uma camada extra de segurança nas contas online. No entanto, a ironia é que, ao buscar aumentar sua segurança, os usuários acabaram comprometendo seus dados pessoais.
A peça central desse esquema era um anúncio que parecia ser legítimo. Quando os usuários clicavam no anúncio, eram redirecionados através de uma série de domínios controlados pelo invasor até chegarem a um site falso que imitava o Google Authenticator.
Distribuição do Malware
O site fraudulento, chromeweb-authenticators[.]com, foi registrado no mesmo dia em que o anúncio foi detectado. O código-fonte do site mostrava um script que baixava um arquivo chamado Authenticator.exe do GitHub. Este arquivo continha o malware DeerStealer, um spyware projetado para roubar dados pessoais dos usuários.
O GitHub, uma plataforma de hospedagem de código, foi utilizado pelos invasores para hospedar o malware. O arquivo malicioso foi carregado por um usuário com o nome authe-gogle, no repositório authgg. O uso do GitHub é estratégico, pois se trata de uma plataforma confiável, difícil de ser bloqueada por filtros convencionais.
O arquivo Authenticator.exe foi assinado digitalmente pela “Songyuan Meiying Electronic Products Co., Ltd.” apenas um dia antes de ser descoberto. A assinatura digital ainda era válida no momento da descoberta, o que aumentava a credibilidade aparente do arquivo.
Recomendações
Esses ataques dependem principalmente de engenharia social para enganar os usuários. A habilidade de distinguir entre anunciantes reais e falsos é crucial para evitar cair nesses golpes. Como vimos, um indivíduo conseguiu não só se passar pelo Google, mas também distribuir malware como se fosse um produto oficial da marca.
Para evitar ser vítima de ataques similares, é recomendável não clicar em anúncios para baixar software. Em vez disso, os usuários devem visitar diretamente os repositórios oficiais dos programas. Ferramentas de segurança, como o Malwarebytes, podem ajudar a bloquear o acesso a sites falsos e detectar cargas úteis maliciosas, como o Spyware.DeerStealer.
A confiança em anúncios verificados deve ser acompanhada de precaução e verificação adicional, especialmente quando se trata de software de segurança. O Google e outras plataformas precisam continuar aprimorando suas medidas de segurança para proteger os usuários de tais ameaças.
