Criminosos cibernéticos estão usando Google Ads para enganar os usuários e fazer com que baixem malware. Dessa vez, a isca é um anúncio malicioso que promete o download do Google Chrome, o navegador mais popular do mundo.

Ao clicar no anúncio, as vítimas são redirecionadas para uma página fraudulenta do Google Sites, que serve como um portal intermediário, de forma semelhante ao que vimos em campanhas de phishing de contas do Google no início deste ano. O redirecionamento final leva ao download de um grande executável disfarçado de Google Chrome, mas que, na verdade, instala o malware SecTopRAT.

Como Funciona o Ataque

1. Distribuição: Anúncios e Google Sites Ao buscar por “download do Google Chrome” no Google, um anúncio suspeito pode aparecer nos resultados patrocinados. Embora a URL contenha “https://sites.google.com”, que é uma plataforma legítima do Google, ela foi usada de forma indevida por criminosos para criar páginas falsas que parecem confiáveis.
   
2. Instalação do Malware Quando o usuário clica no suposto instalador do Google Chrome (GoogleChrome.exe), o arquivo falso se conecta a um servidor remoto em launchapps[.]site e baixa um código malicioso. O instalador tenta executar ações administrativas no computador da vítima, garantindo que o malware seja instalado sem disparar alertas do Windows Defender. O arquivo malicioso é então extraído e armazenado no diretório %appdata%\Roaming\BackupWin, onde é descompactado e executa o payload final, waterfox.exe. Curiosamente, esse arquivo tem o mesmo nome e ícone do navegador Waterfox, uma versão do Firefox.
   
3. Ação do Malware SecTopRAT O SecTopRAT, um trojan de acesso remoto com capacidades de roubo de dados, é então injetado no processo legítimo do MSBuild.exe e começa a se comunicar com a infraestrutura de comando e controle dos atacantes, no IP 45.141.84[.]208. Para enganar ainda mais as vítimas, o script de instalação finaliza o processo fazendo o download e instalação do verdadeiro Google Chrome, disfarçando completamente as ações maliciosas.
   
4. Campanhas Paralelas Durante a análise, também foram identificadas outras campanhas em andamento pelos mesmos atacantes, como falsas instalações do Notion e do Grammarly.

Conclusão

Este ataque demonstra como os criminosos cibernéticos exploram a confiança dos usuários em plataformas legítimas, como o Google Ads, para distribuir malware. O golpe do instalador falso do Google Chrome é um exemplo claro de como o uso de anúncios patrocinados pode ser manipulado para comprometer a cadeia de entrega de software. A interação dinâmica com sites remotos e a habilidade de ocultar o malware de programas de segurança, como o Windows Defender, tornam esse tipo de ataque altamente eficaz.

Como se Proteger

Felizmente, usuários do Malwarebytes já estavam protegidos, com o Browser Guard bloqueando o anúncio malicioso e o Premium Security Antivirus detectando o payload comprometido. Isso reforça a importância de manter sistemas de segurança atualizados e sempre verificar a origem dos downloads e links antes de clicar.

Na Brasiline Tecnologia, reforçamos a importância de manter a segurança digital em dia e alertamos sobre os riscos crescentes de campanhas como essa.

Fonte

Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia

Fique Por Dentro das Principais Ameaças Cibernéticas

Acompanhe os boletins de cibersegurança da Brasiline Tecnologia para se manter informado sobre os mais recentes ataques, tendências e estratégias de proteção digital. Com nossas análises especializadas, você estará sempre à frente das ameaças que podem comprometer a segurança da sua empresa.

Proteja seu futuro digital com conhecimento!