Muitas pessoas usam o motor de busca do Google para encontrar sites onde podem descarregar (legalmente) todo o tipo de software. Mas, nos últimos tempos, esta actividade tornou-se algo perigosa. Há fortes hipóteses de, se clicar num dos primeiros resultados no Google, que, normalmente, são anúncios, o link pode transportá-lo para um site onde, em vez de descarregar o software que quer usar, vai descarregar malware.
As busca no Google por MSI Afterburner, Bitwarden, Grammarly, Blender, Gimp, Adobe Reader, Microsoft Teams, OBS, Slack, Thunderbird e muitos outros programas podem mostrar resultados promovidos que são controlados por hackers. Desde Dezembro do ano passado, que estão a circular campanhas de anúncios falsos, que se fazem passar por estas marcas.
Os primeiros resultados das busca no Google por software e outros produtos são muitas vezes anúncios que apontam os utilizadores para sites que estão relacionados com a busca que foi feita. No entanto, alguns criminosos descobriram uma forma de apontar os utilizadores para malware, evitando as funcionalidades de detecção de fraudes da Google.
Segundo a empresa de segurança Guardio Labs, os hackers criam sites inofensivos para poderem aparecer no serviço publicitário Google Ads, que depois redireccionam os utilizadores para sites maliciosos. As páginas falsa são idênticas às das páginas oficiais onde se pode descarregar o software pretendido. O truque para evadir os sistemas de detecção da Google é que o redireccionamento só funciona se o utilizador clicar no link do anúncio. Os crawlers, bots, os sistemas de verificação da Google ou qualquer outro utilizador que use o URL que o anúncio mostra, só vêem o site inofensivo. Por isso, o malware mantém-se invisível aos olhos da Google.
Para além disto, muitas vezes, o malware não é descarregado directamente. Em vez disso, pode estar escondido no GitHub, Dropbox ou no Discord para minimizar as hipóteses de ser apanhado por software antivírus. Aparentemente, algum deste software tem assinaturas digitais Microsoft, Acer, DigiCert, Sectigo, ou da AVG Technologies. Todos estes métodos são usados para evitar a detecção.
O malware envolvido nestas campanhas inclui Formbook, IcedID, MetaStealer, entre outros. No mês passado, alguns utilizadores que procuraram pelo Bitwarden encontraram link patrocinados no Google que apontavam para páginas de phishing que tentavam roubar as passwords mestras desta aplicação de gestão de passwords.
Até que a Google consiga resolver este problemas de segurança, os utilizadores devem usar outras formas de procurar software, como por exemplo através da Wikipedia, ou outros motores de busca.
