Anúncios digitais maliciosos e “SEO poisoning” que colocam esses anúncios em locais de destaque nos resultados de busca têm sido pilares do ecossistema de fraudes digitais por anos. Mas, à medida que o crime online evolui e tendências maliciosas como as fraudes de investimentos “pig butchering” e malware de roubo de informações proliferam, os pesquisadores afirmam que o chamado “malvertising” ainda é uma técnica-chave para os golpistas — e continua a ser um problema crescente.
As instâncias de malvertising nos EUA aumentaram 42 por cento mês a mês no outono de 2023 e subiram mais 41 por cento de julho a setembro deste ano, de acordo com dados da empresa de segurança Malwarebytes. A empresa diz que os golpistas geralmente trocam rapidamente as contas de publicidade usadas para malvertising, e 77 por cento das contas são usadas apenas uma vez. Contudo, a maior parte da atividade se concentra no Sul da Ásia e no Sudeste Asiático, com 90 por cento da fraude publicitária proveniente do Paquistão e do Vietnã, segundo a telemetria dos pesquisadores. Mas, como muitos componentes do ecossistema do crime digital, o malvertising é frequentemente oferecido como um serviço onde cibercriminosos de todo o mundo podem comprar anúncios que distribuem seu malware ou levam possíveis vítimas a um site malicioso de sua escolha.
Jérôme Segura, diretor sênior de inteligência de ameaças na Malwarebytes, enfatiza que um local particularmente eficaz para potenciais vítimas encontrarem anúncios maliciosos é nos resultados de busca, onde o conteúdo de marketing patrocinado ganha legitimidade apenas por aparecer na mesma página que os resultados de busca legítimos. Esses anúncios maliciosos podem até acabar recebendo um posicionamento privilegiado no layout dos resultados de busca.
“Os golpistas estão usando o poder da internet e da tecnologia de publicidade, o que permite um direcionamento imenso da vítima certa. Eles podem apresentar o anúncio certo com a intenção certa na hora certa,” diz Segura. “O fato de que os golpistas continuam a gastar dinheiro em publicidade mostra que essas fraudes estão funcionando e que eles estão obtendo um retorno sobre seu investimento em anúncios.”
O malvertising tem sido e continua sendo utilizado em ataques de phishing e fraudes com cartão de crédito, além de distribuir malware como mineradores de criptomoedas e ransomware. Mas os pesquisadores estão observando cada vez mais seu uso para infectar vítimas com rouba-informações também. E pesquisadores do Escritório das Nações Unidas sobre Drogas e Crime relatam que anúncios maliciosos foram incorporados em fraudes de investimentos como o pig butchering e até mesmo em fraudes românticas.
“Malvertising é uma técnica de ataque cibernético que injeta código malicioso dentro de anúncios digitais,” observa a UNODC em um relatório recente sobre as táticas de cibercrime em evolução. “Difícil de detectar tanto por usuários da internet quanto por editores, esses anúncios infectados geralmente são distribuídos a consumidores através de redes de publicidade legítimas. Como os anúncios são exibidos para todos os visitantes do site, praticamente todos os visualizadores da página estão em risco de infecção.”
Os pesquisadores regularmente veem anúncios maliciosos nos resultados de busca se apresentando como provenientes de empresas e organizações legítimas. Seja uma municipalidade regional, uma utilidade como uma companhia de energia ou uma grande empresa, as pessoas usarão mecanismos de busca simplesmente para acessar o URL de uma organização. E se os primeiros resultados ou os resultados mais convenientes para clicar forem anúncios, os golpistas têm a oportunidade de comprar esse espaço.
“O volume dessas coisas é imenso,” diz Sean Gallagher, pesquisador sênior de ameaças na Sophos. “Os mecanismos de busca como o Google dirão que verificam o conteúdo dos anúncios para garantir que sejam seguros, mas o fato é que os atacantes estão usando redes de entrega de anúncios e podem redirecionar a URL após o anúncio ter sido pago.”
O Google está claramente ciente de que a atividade maliciosa de anúncios está crescendo e evoluindo. A empresa aborda especificamente a atividade publicitária enganosa e fraudulenta em suas políticas, incluindo uma “política de má representação”, e diz que adota várias abordagens para verificar anúncios e detectar malvertising. No entanto, os atacantes continuam a desenvolver métodos de contorno para evitar que seus anúncios sejam sinalizados ou removidos. Em 2023, o Google bloqueou ou removeu cerca de 5,5 bilhões de anúncios e suspendeu mais de 12,7 milhões de contas de anunciantes.
A empresa também tomou medidas ao longo dos anos para rotular anúncios de forma clara e diferenciá-los no layout dos resultados de busca. No entanto, qualquer mecanismo de busca que é suportado por anúncios, em última análise, tem os dois tipos de conteúdo lado a lado, especialmente em dispositivos móveis onde os usuários têm espaço limitado na tela.
“Proibimos expressamente anúncios que tentam contornar nossa aplicação disfarçando a identidade do anunciante para enganar os usuários e distribuir malware,” disse Nate Funkhouser, porta-voz do Google, em uma declaração ao WIRED. “Quando identificamos um anúncio que viola esta política, removemos-no e suspendemos a conta do anunciante associada o mais rápido possível.”
Gallagher, da Sophos, aponta que os criminosos podem frequentemente obter mais pelo seu dinheiro ao comprar anúncios para buscas mais únicas, onde podem dominar o espaço publicitário e chegar ao topo dos resultados de maneira mais orgânica. Mas tanto os pesquisadores da Sophos quanto da Malwarebytes também veem regularmente anúncios maliciosos sendo exibidos em buscas frequentes como aquelas por Google, Walmart, Disney+, Slack, Lowe’s e Apple. Segura até diz que a própria Malwarebytes tem que investir pesadamente na compra de anúncios em mecanismos de busca apenas para manter o malvertising à distância da marca da empresa.
“Temos que defender nossa marca tanto,” diz ele. “As pessoas tiram proveito disso.”