Uma campanha sofisticada de desinformação está utilizando diversos subdomínios nas nuvens da Microsoft Azure e OVH, bem como o Google Search, para promover sites de malware e spam.
Usuários de Android recebem uma notificação de pesquisa do Google com o texto "nova informação relacionada a...", sobre um assunto que eles pesquisaram anteriormente, mas são então direcionados a resultados de pesquisa enganosos, que os levam para sites de golpes disfarçados de artigos de infotenimento.
Não se sabe quem está por trás da citação "Se você contar uma mentira grande o suficiente e continuar repetindo-a, as pessoas acabarão por acreditar nela", mas parece ter alimentado a campanha de desinformação que surgiu recentemente.
No início desta semana, recebi uma notificação de pesquisa do Google no meu celular Android, dizendo "nova informação relacionada a Harry Connick, Jr", o ator de Find Me Falling que eu tinha pesquisado recentemente.
Ao clicar na notificação, vi não uma, mas várias páginas da web repetindo a mesma mensagem: "Desvendando a Verdade por Trás do AVC de Harry Connick Jr.: Uma Jornada de Resiliência e Recuperação".
O motivo pelo qual o Google enviou essa notificação de "nova informação relacionada" em primeiro lugar?
Os resultados de pesquisa do Google foram contaminados por dezenas de domínios hospedados em serviços de nuvem como o armazenamento blob do Microsoft Azure e OVH, os quais estão perpetuando essa desinformação.
Quando o Google detecta vários desses sites divulgando "nova informação" relacionada a uma figura pública, seus algoritmos possivelmente tratam isso como tal e notificam os usuários que pesquisaram previamente sobre a entidade.
Ironicamente, muitos desses artigos discutem um "boato" relacionado à saúde da celebridade e, por sua vez, espalham esse mesmo boato, já que nenhuma outra fonte de notícias crível parece estar fazendo tais alegações sobre Harry Connick, Jr.
Esses artigos sem fundamento ou afirmam que as celebridades nomeadas sofreram recentemente um "AVC" ou concluem que não há confirmação "oficial" sobre tais condições de saúde da personalidade nomeada.
Isso é, quando esses artigos são visualizados com um ad blocker ativado.
Caso contrário, o único propósito dessas páginas da web é redirecionar os visitantes através de uma série de obstáculos para propriedades online que, no final, promovem malware, spam e software falsificado.
Por exemplo, o link no seguinte endereço, hospedado no *.blob.core.windows.net da Microsoft
hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/harry-connick-junior-stroke.html
foi visto redirecionando para um domínio duvidoso videoadblocker[.]pro pedindo aos usuários para instalar uma extensão do Chrome "Eclipse Ad Blocker":
Foram observados anúncios semelhantes rodando em outros domínios, com alguns promovendo alertas falsos de vírus "Norton" e "McAfee".
Vimos muitos desses domínios inserindo scripts de veiculação de anúncios como hxxps://moremashup[.]com/js/ads.js
Alguns deles iam um passo além e injetavam scripts ofuscados de uma linha na página, por exemplo, de hxxps://satisfactorymetalrub[.]com/8438b16ee31e72c66f3abda855a57488/invoke.js
Os leitores devem evitar visitar resultados de pesquisa que apontem para estruturas de URL mencionadas anteriormente, especialmente quando estas parecem conter alegações ousadas e não verificadas sobre figuras públicas e entidades que, de outra forma, não são mencionadas por fontes credíveis.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...