Authenticator falso vem com malware e usa até propaganda no Google

Atacantes driblam segurança de sistema de anúncios para distribuir software malicioso. Programa falso rouba informações do navegador.

Giovanni Santa Rosa
Por
• Atualizado hoje às 00:00
(Imagem: Vitor Pádua/Tecnoblog)
Google Authenticator serve para gerar códigos de autenticação em dois fatores (Imagem: Vitor Pádua / Tecnoblog)

Um ataque de malware adotou uma estratégia ousada: criar um site falso do Google Authenticator e colocar uma propaganda dele no próprio Google, para fisgar quem quer baixar o aplicativo. O pior de tudo é que deu certo: os anúncios apareciam no buscador e imitavam até a URL da empresa.

A propaganda foi encontrada pela empresa de cibersegurança Malwarebytes nos resultados. Ela mostrava a URL “google.com” e “https://www.google.com” e vinha inclusive com um selo que dizia “Site oficial”. Ao clicar no link, uma série de redirecionamentos leva o visitante ao site falso.

Prints mostram anúncio verificado com URL do Google. Nome do anunciante é Larry Marr.
Anúncio era verificado, apesar de informações falsas (Imagem: Reprodução / Malwarebytes)

O Google também dizia que o anunciante tinha sido verificado, mas, nas informações sobre a propaganda, consta apenas o nome Larry Marr, que não tem nenhuma relação com a empresa. Provavelmente, se trata de uma conta falsa.

Malvertising é um problema para o Google

Não é a primeira vez que um anúncio no Google é usado para distribuir malware. A prática tem até nome: “malvertising”, junção das palavras “malware” e “advertising” (propaganda). O site Bleeping Computer menciona outros casos envolvendo publicidade de páginas falsas, incluindo KeePass, o navegador Arc, YouTube e Amazon.

O mais novo episódio mostra que o Google ainda falha na hora de bloquear ataques deste tipo. Após contato do Bleeping Computer, a empresa disse ter tirado o anúncio do ar.

Segundo o Google, campanhas deste tipo conseguem escapar das lentes da empresa usando diversas táticas. Os atacantes criam milhares de contas simultaneamente para cadastrar os anúncios, aumentando as chances de algum deles escapar.

Além disso, eles usam manipulação de texto e cloaking. Assim, sistemas de revisão automática e fiscais humanos veem páginas diferentes daquelas que serão exibidas a visitantes comuns.

Authenticator falso rouba dados

Voltemos ao caso do Google Authenticator falso. A página promete o download da ferramenta de autenticação em dois fatores do Google, mas, no lugar dela, baixa um arquivo .exe que está hospedado no GitHub.

Página falsa do Google Authenticator, com botão de download. No canto da tela, um balão mostra o download finalizado.
Arquivo .exe vem com malware para roubar informações (Imagem: Reprodução / Malwarebytes)

O Bleeping Computer chama a atenção para o fato de que, em dois dias diferentes, o pacote veio com assinaturas de companhias distintas. Em ambos os casos, porém, isso pode dar ao arquivo credibilidade para ultrapassar barreiras de segurança do Windows.

O executável traz o DeerStealer, malware especializado em roubar credenciais, cookies e outras informações armazenadas no navegador.

Portanto, ao fazer um download, fique atento ao endereço que aparece na barra do seu navegador e desconfie de URLs desconhecidas. E vale frisar: o Google Authenticator não tem versão para PC, apenas para Android e iOS.

Com informações: Malwarebytes, Bleeping Computer

Relacionados

Google Authenticator ganha finalmente sincronia com a nuvem
Google Authenticator ganha finalmente sincronia com a nuvem
Malware para Linux é controlado por emojis enviados via Discord
Malware para Linux é controlado por emojis enviados via Discord
Como recuperar contas que usam o Google Authenticator após perder o celular
Como recuperar contas que usam o Google Authenticator após perder o celular
Criminosos copiam site de gerenciador de senhas para roubar dados
Criminosos copiam site de gerenciador de senhas para roubar dados
App para Android baixado 10 milhões de vezes infecta celulares
App para Android baixado 10 milhões de vezes infecta celulares
Golpistas usam Facebook para anunciar temas falsos do Windows e roubar senhas
Golpistas usam Facebook para anunciar temas falsos do Windows e roubar senhas

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.