Uma nova campanha de malvertising foi observada, capitalizando em um site comprometido para promover versões espúrias do PyCharm nos resultados de busca do Google, utilizando Anúncios de Pesquisa Dinâmica.
"Sem o conhecimento do proprietário do site, um de seus anúncios foi automaticamente criado para promover um programa popular para desenvolvedores Python, e visível para as pessoas que fazem uma pesquisa no Google para ele", disse Jérôme Segura, diretor de inteligência de ameaças na Malwarebytes, em um relatório.
"As vítimas que clicaram no anúncio foram levadas para uma página da web hackeada com um link para baixar o aplicativo, que acabou instalando mais de uma dúzia de diferentes malwares em vez disso".
O site infectado em questão é um portal online sem nome que se especializa em planejamento de casamentos, que havia sido injetado com malware para servir links falsos para o software PyCharm.
Segundo a Malwarebytes, os alvos são direcionados para o site usando Anúncios de Pesquisa Dinâmica, uma oferta de anúncio do Google que usa programaticamente o conteúdo do site para personalizar anúncios segmentados com base nos termos de pesquisa.
"Quando alguém pesquisa no Google com termos intimamente relacionados aos títulos e frases frequentemente usadas em seu site, o Google Ads usará esses títulos e frases para selecionar uma página de destino de seu site e gerar um título claro e relevante para seu anúncio", explica o Google em sua documentação de suporte.
Como resultado, um ator de ameaças com capacidade para alterar o conteúdo do site também pode tornar as campanhas publicitárias uma ferramenta lucrativa para abuso, servindo efetivamente aos usuários do Google Search anúncios que podem resultar em comportamentos não intencionais.
"O que aconteceu aqui é que o Google Ads gerou dinamicamente este anúncio a partir da página hackeada, o que faz do proprietário do site um intermediário e vítima involuntária pagando por seu próprio anúncio malicioso", explicou Segura.
O desenvolvimento vem como Akamai detalhou a infraestrutura por trás de uma campanha de phishing sofisticada visando sites de hospitalidade e seus clientes.
"A campanha é uma ameaça global, com uma quantidade notável de tráfego de DNS visto na Suíça, Hong Kong e Canadá", disse a empresa.
"Embora a campanha fosse inicialmente pensada para ter estado ativa apenas desde setembro de 2023, o registro do domínio mostra nomes de domínio sendo registrados e consultados já em junho de 2023"
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...