Publicidade no Google ajuda a divulgar site falso de navegador Brave infectado
Por Felipe Gugelmin | Editado por Claudio Yuge | 02 de Agosto de 2021 às 22h00
Conhecido como uma opção de navegação voltada à privacidade e proteção de dados pessoais, o Brave teve seu nome usado por criminosos que espalham malwares na internet. O golpe usou como base um site falso que prometia o download do navegador, mas, em troca, infectava máquinas com uma ameaça capaz de transmitir imagens do desktop e executar códigos remotamente.
- Microsoft alerta sobre risco dos call centers falsos que espalham ransomware
- Windows 11 já tem vários links falsos com malwares; veja como evitá-los
- 13 dicas para proteger seus dados bancários no celular
Para enganar as vítimas, os criminosos usaram domínios punycode (protocolo de programação em que uma cadeia de caracteres Unicode pode ser traduzida para a codificação de caracteres mais limitada permitida para nomes de domínio), transformando o endereço "domain xn--brav-yva[.]com" em "Bravė[.]com". Ao acessar o site, o único elemento que o diferenciava da página oficial era o acento no nome, que pode passar facilmente desapercebido — ao clicar para baixar o programa, se iniciava a transferência de um arquivo ISO de 303 MB, que abrigava um único executável em seu interior.
Além de criar a página falsa, os criminosos também pagaram por propagandas no buscador do Google que a destacavam quando alguém procurava por navegadores de internet. Os links usados também surgiam disfarçados como domínios legítimos, evitando chamar a atenção das vítimas para o golpe.
O malware usado pelos atacantes é conhecido como ArechClient e SectorRat, tendo surgido pela primeira vez em 2019. Além de enviar imagens do desktop da máquina invadida, ele pode criar um segundo desktop invisível, realizar comunicações criptografadas e dar ao atacante a capacidade de executar códigos remotos. Outras capacidades incluem roubar históricos do Chrome e do Firefox, conectar a servidores C2 e criar um perfil do sistema atingido.
Ataque com perfil antigo
Uma análise de DNS conduzida pelo DNSBD Scout mostra que o domínio de IP usado para abrigar o site falso também abrigava endereços que levavam a páginas como lędgėr.com, sīgnal.com e teleģram.com — todas registradas a partir do NameCheap. Uma análise conduzida por Martijn Grooten, chefe da empresa de segurança Silent Push, mostrou que havia outros domínios semelhantes registrados pelo serviço que faziam referência ao jogo Flight Simulator, ao navegador Tor e ao Screencast, entre outros.
Assim que o Brave notificou o Google sobre o que estava acontecendo, o sistema de buscas eliminou a exibição dos anúncios. Da mesma forma, o NameCheap removeu o site falso assim que foi notificado de que ele estava sendo usado para a distribuição de malwares.
A suspeita é a de que o golpe com os sites falsos seja antigo, se beneficiando da dificuldade de identificá-los graças ao uso de domínios punycode. No caso, a melhor forma de se proteger contra golpes é aumentar a atenção sobre os endereços usados, já que a presença de acentos e outros elementos estranhos muitas vezes é a única forma de diferenciá-los das páginas legítimas.
Fonte: Ars Technica