Anúncios no Google e técnicas de SEO já entram em currículo cibercriminoso

O uso cada vez maior de anúncios fraudulentos no Google e táticas de SEO é mais uma faceta da profissionalização dos cibercriminosos. O foco está na distribuição de vírus para os usuários, com as ferramentas de publicidade e otimização para motores de busca servindo como caminho para que os sites mal-intencionados apareçam no topo das buscas e ludibriem as pessoas durante as pesquisas.

• OBS, VLC, WinRAR e outros apps viram iscas em anúncios fraudulentos no Google
• Bandidos manipulam sistemas de busca para contaminar dispositivos

Dados da equipe de inteligência em ameaças da empresa de segurança Tempest mostram um movimento vertiginoso de interesse por táticas desse tipo. As citações a técnicas de envenenamento de SEO e compra de anúncios começam a aparecer entre maio e junho de 2022 e seguem tendência de alta crescente nos espaços de discussão usados pelos bandidos.

“A disseminação de malwares via anúncios do Google ou Bing se aproveita da reputação e credibilidade dessas empresas”, explica o diretor de inteligência em ameaças da Tempest, Ricardo Ulisses. “Para o usuário comum e até mesmo profissionais de TI com pouco conhecimento sobre essas técnicas, é natural confiar na fonte de pesquisa, e embora [as empresas] possuam mecanismos para detectar e banir comportamento suspeito, os criminosos têm utilizado técnicas para contornar isso.”

De acordo com o levantamento, entre as ameaças mais divulgadas por estes meios estão vírus ladrões de dados como Rhadamanthys, Vidar, Raccoon e RedLine. Também se destacam o IcedID, um malware bancário que também atende pelo nome de BokBot e tem funcionamento modular, também servindo para trazer outras ameaças aos dispositivos, e o Gootkit, também com funcionamento semelhante e foco no mercado financeiro e usuários de computador.

Além disso, Ulisses destaca a presença de fraudes financeiras envolvendo empréstimos falsos, financiamentos e páginas de phishing que se passam por instituições financeiras. Entretanto, segundo o especialista, cada grupo ou cibercriminoso utiliza as técnicas de uma maneira própria, focada no objetivo pretendido e as motivações de cada ataque.

Formatos diferentes de ataque em cada espaço

No eXploit, por exemplo, um dos principais fóruns cibercriminosos da superfície da web, o número de publicações relacionadas aos anúncios do Google saiu de zero, em maio do ano passado, para mais de 300 no mês seguinte. Após uma ligeira queda, o fluxo continuou, com as ferramentas e oportunidades de exploração relacionadas a anúncios e mecanismos de busca apresentando tendência de crescimento em 2023.

Movimentos semelhantes, mas em menor grau, também aparecem no Breach Forums, voltado para a divulgação de volumes de dados vazados, e também no XSS, ambos também da superfície da web. No espaço voltado à divulgação de malwares e ferramentas de exploração em idioma russo, houve um pico de menções ao tema no final de 2022, com o assunto voltando aos níveis baixos, mas consistentes, em 2023.

“Campanhas maliciosas têm utilizado protocolo HTTPS, antes visto como um indicador de página segura, outras têm disponibilizado conteúdo malicioso ou hospedado páginas de phishing em sites legítimos para reduzir as chances de detecção”, complementa Ulisses. Em todos os casos, aponta, os criminosos têm se adaptado a mecanismos de defesa e focando na evasão de antivírus e outras ferramentas de defesa.

O Canaltech procurou o Google para saber a forma como a empresa lida com o movimento cada vez maior dos criminosos no uso de técnicas de SEO e compra de anúncios para disseminar ataques. A empresa optou por não comentara pesquisa.

Como se defender de ataques em sites de busca?

Para Ulisses, o essencial aos usuários é estar atento durante a navegação na internet e o download de softwares. Domínios acessados devem ser sempre verificados, principalmente na hora de baixar ou instalar ferramentas e apps, com atenção especial a páginas acessadas a partir de links disponíveis em redes sociais ou recebidos por e-mail, principalmente se encurtadores estiverem sendo utilizados para ocultar a URL real.

O especialista também recomenda que os usuários evitem baixar softwares ou jogos pirateados e prefiram os sites de desenvolvedores oficiais para obter as soluções. O especialista recomenda ainda que se evite salvar senhas em navegadores, já que eles costumam ser os principais alvos de ataques contra usuários finais.

Em ambientes corporativos, a recomendação é pelo bloqueio de instalações de softwares fora das políticas da empresa, que deve ter um repositório único de distribuição de software. Novas adições devem ser analisadas pelos times de segurança, enquanto softwares de proteção devem estar ativos e sistemas operacionais sempre atualizados.