Os distribuidores de vírus aprenderam a atrair discretamente os usuários para sites falsos por meio da pesquisa do Google.

Na rede de publicidade Google Ads, especialistas da empresa Malwarebytes, responsável pelo desenvolvimento do antivírus de mesmo nome, relataram um novo tipo de ataque que visa atrair internautas crédulos para recursos falsos, cujos endereços são tão semelhantes quanto possível aos endereços dos sites de desenvolvedores de software de boa-fé.

Fonte da imagem: Malwarebytes

A publicidade nos motores de busca é marcada de acordo, mas na aparência praticamente não difere dos resultados da pesquisa orgânica – como resultado, um usuário desatento corre o risco de seguir o link do anúncio e acabar em um site criado por golpistas ou distribuidores de vírus. Os invasores não apenas criam cópias de sites de desenvolvedores de software genuínos, mas também falsificam seus URLs: o Malwarebytes relatou que está colocando anúncios na rede Google Ads, substituindo alguns caracteres por outros muito semelhantes.

Para fazer isso, eles usam Punycode, um método padrão para converter caracteres Unicode em sequências ACE usadas em endereços da web. Essa tática é chamada de “ataque homógrafo” – os endereços usam caracteres que não fazem parte do alfabeto latino básico: letras do cirílico, grego e árabe, até mesmo caracteres chineses. Um exemplo notável disso foi a propaganda falsa do gerenciador de senhas KeePass.

No passado, os invasores usaram subdomínios ou extensões de domínio alternativas para induzir os usuários a clicar nesses links, mas o uso do Punycode pode enganar até mesmo um usuário atento e tecnicamente experiente. Como exemplo, é fornecido o símbolo “ḳ” (U+1E33), que difere do k latino usual por um pequeno ponto na parte inferior – pode ser facilmente esquecido ou confundido com uma mancha no monitor.

A tática de “ataque homógrafo” é conhecida há muito tempo, mas foi notada pela primeira vez na rede de publicidade do Google. Infelizmente, não existe uma solução simples para o problema – basta prestar mais atenção aos anúncios de busca ou inserir você mesmo endereços conhecidos, evitando erros de digitação, que, aliás, também são uma arma conhecida nas mãos de golpistas.