Bandidos usam domínios antigos para entregar vírus e escapar de monitoramento
Por Felipe Demartini • Editado por Claudio Yuge |
Domínios antigos, alguns com quase 15 anos desde o registro original, estão sendo usados por um grupo cibercriminoso especializado na entrega de ataques por meio de anúncios patrocinados. A rede localizada por especialistas em segurança seria constituída de, pelo menos, 487 URLs, algumas delas registradas em 2008 e que estão sendo usadas apenas agora para a distribuição das propagandas maliciosas.
- Google removeu 3,4 bilhões de anúncios irregulares em 2021
- WhatsApp, redes sociais e propagandas falsas ajudam cibercriminosos
Por trás dos golpes está o CashRewindo, uma rede cibercriminosa que usa anúncios perigosos, mas hospedados em serviços legítimos, como forma de fazer vítimas. No caso da campanha atual, o foco está nos golpes envolvendo investimentos e criptomoedas, enquanto operações anteriores também envolveram a entrega de malwares ou o roubo de dados.
As propagandas são localizadas, com traduções automáticas as tornando direcionadas a usuários da Europa, Américas, Ásia e África. Enquanto isso, o uso de domínios antigos faz com que os sites maliciosos escapem da detecção automática, uma vez que a idade, sem indícios de perigo, os deu autoridade para exibição em sites e ferramentas de busca, além de tornar a detecção automatizada mais difícil.
De acordo com a Confiant, que revelou o funcionamento do esquema, as URLs são registradas pelos próprios bandidos e permanecem guardadas. Na atual campanha, a maioria dos domínios são de 2020, enquanto alguns aparecem com datas ainda mais antigas, incluindo os casos com mais de 10 anos de idade. Com isso, as propagandas chegaram a atingir mais de 1,5 milhão de impressões, com 75% dos casos registrados em PCs Windows e maioria das exibições na Hungria, Polônia e Croácia.
Os bandidos também são cautelosos na configuração das campanhas, usando palavras simples e diretas, além de redirecionarem para os sites maliciosos apenas posteriormente, após alguns dias de veiculação. Detalhes nas imagens também dificultam a vida da segurança automatizada, enquanto, do outro lado do link, estão os tradicionais golpes com lives falsas e promessas de retornos altos para quem se cadastrar ou enviar valores para uma determinada carteira.
Esse acaba sendo o principal sinal do golpe, e enquanto as empresas de marketing não atuam, seja de forma direta ou automática, cabe ao usuário se cuidar. Desconfie de promessas envolvendo lucro alto ou entrega de valores “de graça”, evitando clicar em anúncios assim, baixar aplicativos ou entregar dados em sites desse tipo. Prefira empresas reconhecidas do ramo, enquanto mantém o sistema operacional atualizado e o antivírus sempre ativo no computador e celular.
Fonte: Confiant