Cibercriminosos emplacam phishing de WinRAR na página de busca da Google

2 min de leitura
Imagem de: Cibercriminosos emplacam phishing de WinRAR na página de busca da Google

O WinRAR talvez seja um dos programas mais baixados no mundo. Isso porque ele funciona de maneira simples: descompacta arquivos ".rar". Exatamente por isso, as buscas para download do software são gigantescas — e foi exatamente nessa alta demanda que cibercriminosos emplacaram um golpe de phishing na página de buscas da Google, via Google Ads.

Cibercriminosos conseguiram passar um link pela equipe de segurança do Google Ads

Caso você não saiba, phishing é um método de ataque simples, baseado no desconhecimento da vítima — por isso, se traduzirmos, temos algo como "pescaria". Cibercriminosos utilizam links atraentes ou mexem com a ganância de um usuário de PC (vide emails com prêmios em dinheiro) para ter sucesso ao implantar um malware. Sobre isso, você pode saber mais aqui.

O Google Ads é uma plataforma que funciona da seguinte maneira: você paga um valor X e tem o site do seu negócio exposto como primeira opção na página de busca da Google. Acontece que cibercriminosos utilizaram essa plataforma para divulgar um link malicioso de download do WinRAR.

Ao clicar, o usuário baixava um JavaScript malicioso

"Eu procurei a palavra 'winrar' no Chrome e o primeiro resultado era uma propaganda", nos alertou o profissional de TI e leitor do TecMundo, Ricardo Voyceik. Ricardo comentou que, assim que o usuário clicava no link que aparecia em primeiro resultado, ele era redirecionado para uma página falsa de download do WinRAR.

"Não havia a opção de comprar, apenas para fazer o download. Eu realizei o processo e vi que o usuário acaba baixando um arquivo .zip com um JavaScript", comentou Voyceik. Abaixo, veja a imagem capturada pelo leitor.

Note como o link malicioso é exibido no topo dos resultados da pesquisa

Link malicioso

  • Em outra imagem, você vê a página que se abre logo após o clique. Não há o botão para compra do produto e também não há o protocolo de segurança "https://", sinais de que há algo errado na página.

Falhas

O problema aqui é grave: ao passar pela equipe de segurança do Google Ads, esse link malicioso tem a capacidade de instalar diversos tipos de malware em computadores, caso o usuário esteja desavisado ou desprotegido.

O TecMundo contatou a Google sobre o caso, que nos respondeu: "Agradecemos pelo alerta. O caso já está sendo tratado internamente e ações serão tomadas caso o anúncio viole as políticas da empresa".

Esta matéria foi resultado da colaboração entre jornalistas e leitores do TecMundo. Se você notou alguma falha, vulnerabilidade ou link malicioso, pode denunciar ao TecMundo clicando aqui.

  • A propaganda maliciosa não está mais aparecendo na página de buscas da Google.
Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.