Os cibercriminosos promovem uma página falsa do Google Authenticator por meio de anúncios na Pesquisa Google. De acordo com o relatório, eles usam um esquema complicado para ocultar o domínio fraudulento e fazer com que o anúncio contenha um URL genuíno. A página resultante, que se parece exatamente com o original do Google Authenticator, baixa um arquivo malicioso.
Página falsa de download do Google Authenticator promovida no Google Ads
Em julho 30, 2024 analistas notaram um anúncio na Pesquisa Google, que leva a um site que imita a página legítima de download do Google Authenticator. Este não é o primeiro abuso de uma not ideal ad moderation in Google Ads, mas desta vez as fraudes ousam falsificar o próprio Google. O anúncio fraudulento exato usa truques sofisticados que fazem o link do anúncio parecer genuíno. Mas ao clicar nele, uma cadeia de redirecionamentos é acionada, jogando a vítima no site chromeweb-authenticators.com.
Lista de domínios usados neste golpe
- gg2024.info
- gg2024.com
- authenticcator-descktop.com
- autenticadorgoogle.com
- autenticador-gogle.com
- athentificator-gogle.com
- updater-pro.com
- authentificatorgogle.com
- autenticator-googl.com
- chromstore-authentificator.com
- authentificcatorgoolgle.com
- autenticador-google.com
- autenticador-googl.com
- autenticatorgoogle.com
O próprio site tenta copiar o estilo da página original do Authenticator. Ele ainda contém links para postagens de blog genuínas. O que está diferente, no entanto, é a presença de dois botões tentadores que dizem “Download”. O problema é que o Google nunca ofereceu uma versão desktop de sua ferramenta MFA. E é aí que acontece a parte principal do esquema.
Ao clicar em qualquer um dos dois botões “Download”, o site extrai o arquivo Authenticator.exe do repositório GitHub. Por aqui, hackers que estão por trás do esquema impedem a detecção precoce: GitHub é considerado seguro, apesar de ser usado como armazenamento de malware em uma seleção de ataques. Mas uma vítima inconsciente confirmará o download e executará o falso autenticador, lançando a carga útil.
DeerStealer dentro de um falso autenticador do Google
A carga útil é uma amostra de um novo malware ladrão, apelidado de DeerStealer. Há rumores de que é uma variante reformulada do XFiles ladrão de informações, mas isso faz pouca ou nenhuma diferença para o usuário. Assim que o Authenticator.exe estiver em execução, ele lançará a carga maliciosa por meio do sequestro de DLL. Depois disso, DeerStealer efetivamente foge da terra, na memória do sistema, não deixando rastros no disco.
%SAMPLEPATH%\5d1e3b113e15fc5fd4a08f41e553b8fd0eaace74b6dc034e0f6237c5e10aa737.exe
Avançar, o malware se conecta a um dos vários endereços C2 que carrega na memória do sistema, e envia as informações coletadas. Além das coisas típicas dos infostealers – senhas, fichas, carteiras criptográficas etc., ele também coleta uma impressão digital bastante extensa do sistema: GUIA, linguagem, configurações de rede e nome do computador.
Como se proteger contra golpes de malware?
A melhor proteção contra malware é mitigar o problema proativamente, então você nem chegará ao ponto em que há malware em algum lugar do seu sistema. Esse, no entanto, pode ser problemático: como você pode ver no texto acima, os atores da ameaça têm muitos truques para mexer com as pessoas. É por isso que sua atenção, junto com software de segurança adequado, é uma chave para evitar infecções por malware.
Revise os sites dos quais você obtém o software. Mesmo que um anúncio do Google diga que o site é legítimo, pode ser que não, como você pode ver neste caso. Verifique sempre o URL final, e, se não 100% claro, use serviços confiáveis de verificação de URL on-line. Scanner de URL on-line GridinSoft é um serviço gratuito que fornecerá esses recursos.
Use software antimalware confiável com proteção proativa e segurança de rede. Para evitar cair em golpes de próximo nível que são totalmente indistinguíveis de sites legítimos, obtenha uma proteção que detectará esses casos para você. GridinSoft Anti-Malware oferece excelente proteção contra as ameaças mais modernas, e cobrirá você mesmo durante uma navegação casual.