Os ataques de Malvertising foram recentemente nas notícias. A Inteligência de Ameaças da Microsoft descobriu uma campanha Eles ligaram para o Storm-0408 que podem ter impactado quase um milhão de dispositivos depois que os usuários baixaram malware do Github. Depois que as máquinas foram infectadas, os criminosos obtiveram acesso aos detalhes de login das pessoas, contas do OneDrive e até carteiras de criptomoeda. Os repositórios maliciosos do GitHub já foram removidos e o Microsoft Defender foi atualizado para detectar o malware usado no ataque.
Anúncio
Malvertising é um negócio sério. O Q4 2024 Relatório da Gen Digital (A empresa proprietária de Norton, Avast, Avira e AVG) relatou que “o malvertismo continuou a servir como um grande vetor de golpes e malware, compreendendo 41% de todos os ataques bloqueados neste trimestre, a maior participação de qualquer tipo de ameaça”.
Mas o que é malvertising? Em primeiro lugar, você precisa entender que o malvertismo pode se referir a vários tipos diferentes de ataques cibercriminais, e as táticas empregadas por criminosos cibernéticos mudaram com o tempo. Isso significa que muitas das informações na web estão desatualizadas. Veremos como o Malvertising mudou desde os anos 2000 e 2010 e mostrarmos quais etapas você pode tomar para se proteger.
Anúncio
A história do malvertismo
Mudar e evoluir é da natureza dos malware e dos ataques cibernéticos. Os hackers precisam se adaptar à medida que as medidas de segurança se apertam. O malvertismo é geralmente definido como a prática de incorporar malware em anúncios online aparentemente legítimos. No entanto, também pode se referir a anúncios ou sites que redirecionam os usuários para downloads maliciosos. Também é frequentemente combinado com uma prática chamada envenenamento por SEO, onde os criminosos subvertem os algoritmos de mecanismos de pesquisa para colocar links enganosos no topo das páginas de resultados.
Anúncio
Foi identificado pela primeira vez como uma ameaça em 2007, com o código malicioso sendo incorporado em anúncios de banner em sites legítimos e passou por várias iterações desde então. Ataques de alto perfil nos anos 2010 usaram anúncios incorporados em sites de notícias respeitáveis para instalar ransomware nos computadores dos usuários. Em 2016, sites como o New York Times, Newsweek e a BBC inadvertidamente hospedaram anúncios maliciosos. Eles exploraram uma falha no Microsoft Silverlight, um plugin de navegador agora extinto para reproduzir vídeos e animações, semelhante ao Flash.
O código perigoso pode estar oculto em qualquer lugar dentro de um anúncio, dificultando a detecção. Em alguns casos, um dispositivo pode ser infectado, mesmo que o usuário não clique em nada, uma técnica conhecida como download drive-by. Como a descontinuação de plugins como Flash e Silverlight, os downloads drive-by não são mais um problema (até que, possivelmente, eles apareçam novamente em outro disfarce). Malvertisements modernos como o Storm-0408 exigiam que os usuários cliquem em um anúncio falso primeiro.
Anúncio
Como funcionou o malvertido Storm-0408?
O recente ataque detalhado pela Microsoft Ameak Intelligence afetou os usuários de vários sites ilegais de download de filmes. Os anúncios foram incorporados em quadros de filmes, que, quando clicados, redirecionavam as pessoas para outro site fingindo ser um site de segurança de malware ou suporte técnico. Este site os levou a baixar um arquivo do GitHub ou outro repositório de código. Depois de baixado, o malware instalou o software oculto e enviou informações roubadas, como senhas ou dados pessoais, para os cibercriminosos.
Anúncio
Dado que esses malvertisemiações apareceram apenas em alguns sites de piraturas específicos, parece notável que esse golpe em particular conseguisse afetar quase um milhão de dispositivos. Claramente, muitas pessoas estão usando esses sites, pois os milhões de incidentes representam apenas uma pequena porcentagem daqueles lá. O ataque, de acordo com especialistas em segurança da Microsoft, também afetou “dispositivos corporativos”, o que sugere que algumas pessoas estão baixando filmes piratas em seus computadores de trabalho.
Teria sido comparativamente fácil evitar esse ataque em particular, e não apenas evitando sites ilegais de download de filmes em primeiro lugar. Os usuários precisaram clicar primeiro em um anúncio assustador que apareceu em um filme e depois baixe um programa desconhecido do Github. Os ataques de envenenamento por SEO, no entanto, tendem a ser um pouco mais sutis.
Anúncio
O que é envenenamento por SEO?
O envenenamento por SEO (ou SERP) é uma prática que posiciona URLs de aparência legítima na parte superior das páginas de resultados do mecanismo de pesquisa (SERPs) como o Google. Tornou -se popular entre os cibercriminosos como um meio de espalhar malware e ransomware. Os anúncios pagos pelos cibercriminosos podem aparecer no Google Results Home Pages. Às vezes, as palavras -chave e URLs são intencionalmente incorretos. Por exemplo, o slashgear.com pode ser alterado para slasshgear.com ou slashgeer.com ou simplesmente ter um nome de domínio diferente como slashgear.io. Essa prática, conhecida como Typosquatting, pega pessoas que digitam apenas as primeiras letras e não verificam os resultados da pesquisa com muito cuidado. Recentemente, houve mais exemplos em que o URL na página de resultados parece legítimo, mas redireciona para um site diferente.
Anúncio
Essa questão foi amplamente relatada no ano passado, quando as pessoas que desejam baixar o navegador da ARC se queriam vítimas de falsificação. Pesquisando para ‘download do arco’, trouxe resultados patrocinados que pareciam o site real em arc.net/, mas na verdade eram malvertisenses. Eles até exibiram o URL legítimo na página de resultados do Google, mas quando clicados, ele direcionou os usuários a uma página com um URL diferente que era uma paródia do site legítimo. Quando os usuários clicaram no link para baixar, ele instalaria malware. Houve inúmeros golpes semelhantes nos últimos anos, com os Malvertisements aparecendo nos resultados da pesquisa do Google, fingindo ser Amazon.com e downloads de software de código aberto para equipes WINSCP, Putty, Mozilla Thunderbird e Microsoft.
Anúncio
Maneiras de identificar e evitar mal -atingidos
Ajustar e evitar o malvertismo depende do tipo de golpe que está sendo empregado. Nos anos 2010, quando os malvertises podem executar sem que você precise fazer nada, a primeira indicação de que você pode ter sido vítima de um ataque de malvertismo é descobrir que seu computador foi invadido. No entanto, esses ataques geralmente se baseavam em fraquezas em Flash e Java e caíram em desuso quando as pessoas pararam de usar os plugins. As empresas de segurança aconselharam a remoção desses plugins e a proteção firmemada de outras brechas baseadas em anúncios.
Anúncio
Empresas de software de segurança como Norton e McAfee estão constantemente melhorando para combater novos tipos de ataques. A Microsoft Defender atualizou seu produto após os ataques Storm-0408. Garantir que você tenha software antivírus e anti-malware e mantê-lo atualizado deve ser sua primeira porta de chamada ao se proteger. Você também pode considerar o software de proteção de identidade e usar uma VPN. A instalação de um adblocker também se protege contra anúncios maliciosos na página. Os especialistas em segurança estão monitorando regularmente os golpes e, enquanto permanecem um passo à frente dos hackers é impossível, eles estão respondendo o mais rápido possível a novas ameaças e incorporando suas descobertas em seus produtos. Você também deve garantir que não esteja cometendo erros clássicos de segurança cibernética, como clicar em links indiscriminadamente ou não atualizar o software de seus dispositivos.
Anúncio
O que você pode fazer para se defender contra envenenamento por SEO?
A vigilância é fundamental aqui, especialmente se você estiver baixando o software em um dispositivo. Antes de clicar em um botão de download em um site ou em um repositório como o Github, você precisa fazer sua pesquisa. Se você estiver procurando o nome de um produto ou empresa, verifique sua ortografia. A Typosquatters está procurando palavras -chave com ortografia como “NVIDA” ou “Micosoft”. Evite usar os links patrocinados na página de resultados do mecanismo de pesquisa. Role para baixo para conteúdo não patrocinado.
Anúncio
Em seguida, verifique o URL. Golpistas e hackers registram nomes de domínio semelhantes e prováveis para pegar as pessoas. Se você deseja baixar o software, descubra qual é o URL correto de publicações de tecnologia (ou mesmo a Wikipedia). Se você for diretamente para a fonte, em vez de usar um mecanismo de pesquisa, é mais provável que você termine no local que pretende estar. Você também deve verificar a página da web antes de clicar para fazer o download. Os maus atores geralmente recriam a página de destino do site que estão falsificando, mas não fazem muito mais do que isso. Se não houver opção para clicar em outras páginas, como uma página de produtos, página de contato ou termos e condições, é definitivamente suspeito.
Por fim, se você estiver usando o MacOS, tenha cuidado com qualquer site que peça para você clicar com o botão direito do mouse para abrir seu link. Este é um truque usado para ignorar as proteções de segurança. No MacOS, o Gatekeeper foi projetado para impedir que os aplicativos não confiáveis sejam executados sem o consentimento do usuário. No entanto, você pode substituir manualmente essas configurações de segurança, e isso é explorado por atores maliciosos para induzir os usuários a executar software prejudicial.
Anúncio
